【脱壳平台】 我用的是2003, 2K/XP
【软件名称】 JDPack1.01的主程序
【软件简介】 PE文件(EXE、DLL、OCX)压缩加壳工具。压缩比约为50%,压缩后的程序对功能没有任何影响.不用我多说这个大家可能了解的吧,
【软件大小】 94.08K
【保护方式】 JDPack
由于俺的权限不够,不能上传这个软件了,自已去找找吧 jdpack.exe
【使用软件】 OD
用OD载入程序有一个警告窗口说是可能是个压缩的程序点否.
来到这里:
0040E000 > 60 pushad
0040E001 E8 00000000 call JDPACK.0040E006
0040E006 5D pop ebp
0040E007 8BD5 mov edx,ebp
0040E009 81ED C62B4000 sub ebp,JDPACK.00402BC6
0040E00F 2B95 3D344000 sub edx,dword ptr ss:[ebp+40343D]
0040E015 81EA 06000000 sub edx,6
0040E01B 8995 41344000 mov dword ptr ss:[ebp+403441],edx
我用F8 来到0040E001 这里奇存器里的ESP 为 0012FFA4
用DD 0012FFA4 命令
OD 的左下角的地址窗口里来到0012FFA4
左键点一下他.在右键 断点->硬件访问->WORD F9运行
来到这里:
0040E3FD 50 push eax ; JDPACK.004035C9
0040E3FE C3 retn
0040E3FF 23E8 and ebp,eax
0040E401 72 00 jb short JDPACK.0040E403
0040E403 0000 add byte ptr ds:[eax],al
0040E405 8CC8 mov ax,cs
0040E407 50 push eax
F8步过
这里有个反回 RETN 反回到 004035C9
来到这里:
004035C9 6A 00 push 0
004035CB E8 A20A0000 call JDPACK.00404072 ; jmp to kernel32.GetModuleHandleA
004035D0 A3 5B704000 mov dword ptr ds:[40705B],eax
004035D5 68 80000000 push 80
004035DA 68 2C754000 push JDPACK.0040752C
004035DF FF35 5B704000 push dword ptr ds:[40705B]
004035E5 E8 820A0000 call JDPACK.0040406C ; jmp to kernel32.GetModuleFileNameA
004035EA E8 87070000 call JDPACK.00403D76
004035EF 6A 00 push 0
004035F1 68 0B364000 push JDPACK.0040360B
004035F6 6A 00 push 0
这好象是个大的跳转.脱壳.
好了.这就是我说的快速脱JDpack 壳.可能有说错的地方还请高手手多多指点.我是一个才走进什么叫手动脱壳的圈子里的小鸟.^_^
[课程]FART 脱壳王!加量不加价!FART作者讲授!