【脱壳平台】 我用的是2003, 2K/XP

【软件名称】 JDPack1.01的主程序

【软件简介】 PE文件(EXE、DLL、OCX)压缩加壳工具。压缩比约为50%，压缩后的程序对功能没有任何影响.不用我多说这个大家可能了解的吧,

【软件大小】 94.08K

【保护方式】 JDPack

由于俺的权限不够,不能上传这个软件了,自已去找找吧 jdpack.exe

【使用软件】 OD
用OD载入程序有一个警告窗口说是可能是个压缩的程序点否.
来到这里:

0040E000 >  60              pushad
0040E001    E8 00000000     call JDPACK.0040E006
0040E006    5D              pop ebp
0040E007    8BD5            mov edx,ebp
0040E009    81ED C62B4000   sub ebp,JDPACK.00402BC6
0040E00F    2B95 3D344000   sub edx,dword ptr ss:[ebp+40343D]
0040E015    81EA 06000000   sub edx,6
0040E01B    8995 41344000   mov dword ptr ss:[ebp+403441],edx

我用F8 来到0040E001 这里奇存器里的ESP 为 0012FFA4
用DD 0012FFA4 命令

OD 的左下角的地址窗口里来到0012FFA4

左键点一下他.在右键 断点->硬件访问->WORD  F9运行
来到这里:

0040E3FD    50              push eax                                 ; JDPACK.004035C9
0040E3FE    C3              retn
0040E3FF    23E8            and ebp,eax
0040E401    72 00           jb short JDPACK.0040E403
0040E403    0000            add byte ptr ds:[eax],al
0040E405    8CC8            mov ax,cs
0040E407    50              push eax

F8步过
这里有个反回 RETN  反回到 004035C9

来到这里:
004035C9    6A 00           push 0
004035CB    E8 A20A0000     call JDPACK.00404072                     ; jmp to kernel32.GetModuleHandleA
004035D0    A3 5B704000     mov dword ptr ds:[40705B],eax
004035D5    68 80000000     push 80
004035DA    68 2C754000     push JDPACK.0040752C
004035DF    FF35 5B704000   push dword ptr ds:[40705B]
004035E5    E8 820A0000     call JDPACK.0040406C                     ; jmp to kernel32.GetModuleFileNameA
004035EA    E8 87070000     call JDPACK.00403D76
004035EF    6A 00           push 0
004035F1    68 0B364000     push JDPACK.0040360B
004035F6    6A 00           push 0

这好象是个大的跳转.脱壳.
好了.这就是我说的快速脱JDpack 壳.可能有说错的地方还请高手手多多指点.我是一个才走进什么叫手动脱壳的圈子里的小鸟.^_^

[课程]FART 脱壳王！加量不加价！FART作者讲授！