[原创]PECompact2变形工具-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
FetalError 雪币： 206 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 202 粉丝 0 关注私信	FetalError 2 楼 Windows 7 ~~>_<~~伤心地路过 2010-8-12 16:04 0
红红番茄雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	红红番茄 3 楼纯汇编语言很想看看了 2010-8-13 10:06 0
柳痕雪币： 314 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	柳痕 4 楼还是可以比较轻松地脱掉的，毕竟pec只是一个压缩壳，没什么代码保护功能。进入SEH handler后，直接向下查找jmp eax，下断后再单步就能到OEP了，跳过了lz的反调试代码。不过学习楼主的PEDiy方法，有时间仔细跟踪一下~ 另外，在windows 7系统中，不能获得通过命令行输入的文件名，repne scas byte ptr es:[edi]这一句似乎没有效果…… 2010-8-13 10:46 0
jgaoabc 雪币： 394 活跃值： (131) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 57 粉丝 0 关注私信	jgaoabc 1 5 楼 WINDOWS 7系统中,repne scas byte ptr es:[edi]是不能得到文件名。前面几行修改： 00401000 PEC01.<ModuleEntryPo> FF15 B9B04000 call dword ptr ds:[<&KERNEL32.GetCommandLineA>] ; kernel32.GetCommandLineA 00401006 8BF8 mov edi,eax 00401008 83C7 01 add edi,1 0040100B 33C9 xor ecx,ecx 0040100D 803F 22 cmp byte ptr ds:[edi],22 00401010 75 05 jnz short PEC01.00401017 00401012 83C7 02 add edi,2 00401015 EB 03 jmp short PEC01.0040101A 00401017 47 inc edi 00401018 ^ EB F3 jmp short PEC01.0040100D 0040101A 57 push edi 0040101B E8 08000000 call PEC01.00401028 00401020 6A 01 push 1 00401022 FF15 B5B04000 call dword ptr ds:[<&KERNEL32.ExitProcess>] ; kernel32.ExitProcess 00401028 55 push ebp 00401029 8BEC mov ebp,esp 2010-8-20 10:38 0
zhujian 雪币： 1262 活跃值： (755) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 255 粉丝 1 关注私信	zhujian 2 6 楼免杀吗？你好坏 2010-8-20 13:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
FetalError 雪币： 206 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 202 粉丝 0 关注私信	FetalError 2 楼 Windows 7 ~~>_<~~伤心地路过 2010-8-12 16:04 0
红红番茄雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	红红番茄 3 楼纯汇编语言很想看看了 2010-8-13 10:06 0
柳痕雪币： 314 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	柳痕 4 楼还是可以比较轻松地脱掉的，毕竟pec只是一个压缩壳，没什么代码保护功能。进入SEH handler后，直接向下查找jmp eax，下断后再单步就能到OEP了，跳过了lz的反调试代码。不过学习楼主的PEDiy方法，有时间仔细跟踪一下~ 另外，在windows 7系统中，不能获得通过命令行输入的文件名，repne scas byte ptr es:[edi]这一句似乎没有效果…… 2010-8-13 10:46 0
jgaoabc 雪币： 394 活跃值： (131) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 57 粉丝 0 关注私信	jgaoabc 1 5 楼 WINDOWS 7系统中,repne scas byte ptr es:[edi]是不能得到文件名。前面几行修改： 00401000 PEC01.<ModuleEntryPo> FF15 B9B04000 call dword ptr ds:[<&KERNEL32.GetCommandLineA>] ; kernel32.GetCommandLineA 00401006 8BF8 mov edi,eax 00401008 83C7 01 add edi,1 0040100B 33C9 xor ecx,ecx 0040100D 803F 22 cmp byte ptr ds:[edi],22 00401010 75 05 jnz short PEC01.00401017 00401012 83C7 02 add edi,2 00401015 EB 03 jmp short PEC01.0040101A 00401017 47 inc edi 00401018 ^ EB F3 jmp short PEC01.0040100D 0040101A 57 push edi 0040101B E8 08000000 call PEC01.00401028 00401020 6A 01 push 1 00401022 FF15 B5B04000 call dword ptr ds:[<&KERNEL32.ExitProcess>] ; kernel32.ExitProcess 00401028 55 push ebp 00401029 8BEC mov ebp,esp 2010-8-20 10:38 0
zhujian 雪币： 1262 活跃值： (755) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 255 粉丝 1 关注私信	zhujian 2 6 楼免杀吗？你好坏 2010-8-20 13:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复