手脱PECompact V2.55-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

手脱PECompact V2.55

2005-5-6 19:07 6807

手脱PECompact V2.55

huangrui

2005-5-6 19:07

6807

【破解作者】 huangrui【BCG】
【破解平台】 Win9x/NT/2000/XP
【软件名称】手脱PECompact V2.55 压缩 notepad
【破解内容】
参考 fly的 PECompact简便脱壳法。
设置Ollydbg忽略所有的异常选项。
od载入
01001000 N>  B8 90BA0101    mov eax,NOTEPAD.0101BA90
01001005    50             push eax                            ; NOTEPAD.0101BA90
01001006    64:FF35 0000000>push dword ptr fs:[0]
0100100D    64:8925 0000000>mov dword ptr fs:[0],esp
01001014    33C0          xor eax,eax
01001016    8908          mov dword ptr ds:[eax],ecx
01001018    50             push eax

下断点：BP VirtualFree （这个断点好啊）。    中断后，取消断点，Ctrl+F9两次。

然后，ctrl＋f ，查找 push 8000（特征处）。

003E093E    03C7          add eax,edi
003E0940    68 00800000    push 8000 /////这里
003E0945    6A 00          push 0
003E0947    FFB5 951C0010 push dword ptr ss:[ebp+10001C95]
003E094D    FF10          call dword ptr ds:[eax]
003E094F    8B46 0C       mov eax,dword ptr ds:[esi+C]
003E0952    03C7          add eax,edi
003E0954    5D             pop ebp
003E0955    5E             pop esi
003E0956    5F             pop edi
003E0957    5B             pop ebx
003E0958    C3             retn ////此处f2 ，下断

f9 ，运行，此时断了。单步f7，来到

0101BB3D    8985 C8120010 mov dword ptr ss:[ebp+100012C8],eax ; NOTEPAD.0100739D
0101BB43    8BF0          mov esi,eax
0101BB45    59             pop ecx
0101BB46    5A             pop edx
0101BB47    EB 0C          jmp short NOTEPAD.0101BB55
0101BB49    03CA          add ecx,edx
0101BB4B    68 00800000    push 8000
0101BB50    6A 00          push 0
0101BB52    57             push edi
0101BB53    FF11          call dword ptr ds:[ecx]
0101BB55    8BC6          mov eax,esi
0101BB57    5A             pop edx
0101BB58    5E             pop esi
0101BB59    5F             pop edi
0101BB5A    59             pop ecx
0101BB5B    5B             pop ebx
0101BB5C    5D             pop ebp
0101BB5D    FFE0          jmp eax          /////跳到oep
0101BB5F    0000          add byte ptr ds:[eax],al
0101BB61    0000          add byte ptr ds:[eax],al

下面就是DUMP进程，ImportREC修复输入表了。

fly的下断：HE EIP，不适用于这个版本了。

加壳的记事本
附件:NOTEPAD.rar

--------------------------------------------------------------------------------
【版权声明】本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

点赞・0

打赏

最新回复 (20)
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 2005-5-7 11:21 2 楼 0 学习一下！
Lyeses 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 50 粉丝 0 关注私信	Lyeses 2005-5-7 12:00 3 楼 0 收藏了，感谢楼主~~
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2005-5-7 14:06 4 楼 0 鼓励一下 HE EIP不是通用方法，教程已经说明了
泡泡雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	泡泡 2005-8-19 12:16 5 楼 0 我照着楼主的步骤一步步走下来了，到最后用ImportREC修复输入表的时候，不知道oep应该添什么。试过添739D,修复出来的程序能运行,但用exescope不能编辑里面的资源,是不是没完全脱壳？请高手指点一下，谢谢。本人刚开始学脱壳，还是只小菜鸟
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 2005-8-19 14:22 6 楼 0 最初由泡泡发布我照着楼主的步骤一步步走下来了，到最后用ImportREC修复输入表的时候，不知道oep应该添什么。试过添739D,修复出来的程序能运行,但用exescope不能编辑里面的资源,是不是没完全脱壳？请高手指点一下，谢谢。本人刚开始学脱壳，还是只小菜鸟 FIXres
泡泡雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	泡泡 2005-8-19 15:03 7 楼 0 谢谢闪电狼回答我的问题，但我不知道怎么修复资源？麻烦你说的详细些。谢谢
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 2005-8-19 15:45 8 楼 0 最初由泡泡发布谢谢闪电狼回答我的问题，但我不知道怎么修复资源？麻烦你说的详细些。谢谢 soft: freeRes.exe FIXresdemo.exe(http://dREAMtHEATER.reg365.com)
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 2005-8-19 16:19 9 楼 0
泡泡雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	泡泡 2005-8-19 16:28 10 楼 0 谢谢闪电狼，用freeRes.exe打开脱壳后的程序，然后建立可编辑的资源这下就可以用exescope编辑，十分感谢多问一句，是不是脱壳后的程序都要用freeRes修复一下资源？如果我想手动修复资源应该怎么做？能指点两篇这方面的资料吗？再次感谢！
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 2005-8-19 16:30 11 楼 0 最初由泡泡发布谢谢闪电狼，用freeRes.exe打开脱壳后的程序，然后建立可编辑的资源这下就可以用exescope编辑，十分感谢多问一句，是不是脱壳后的程序都要用freeRes修复一下资源？如果我想手动修复资源应该怎么做？能指点两篇这方面的资料吗？再次感谢！不一定.. 有工具干吗还要手动.. 浪费时间!!
6633221 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	6633221 2005-8-19 16:52 12 楼 0 学习一下！！！
hyd009 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	hyd009 2005-8-20 13:10 13 楼 0 不需要修复啊
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 2005-8-21 12:37 14 楼 0 直接脱壳程序就能运行了
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 2005-8-21 13:05 15 楼 0 最初由夜凉如水发布直接脱壳程序就能运行了他要编辑资源
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 2005-8-21 13:17 16 楼 0 哦了不好意思啊 ! 上面的问和答有出处 !!
yy3261 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	yy3261 2005-9-24 17:02 17 楼 0 最初由泡泡发布我照着楼主的步骤一步步走下来了，到最后用ImportREC修复输入表的时候，不知道oep应该添什么。试过添739D,修复出来的程序能运行,但用exescope不能编辑里面的资源,是不是没完全脱壳？请高手指点一下，谢谢。本人刚开始学脱壳，还是只小菜鸟我填入739d怎么不行啊？dump时的地址是0100739d吗？，应该天什么啊？
fuxuchen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	fuxuchen 2005-9-24 23:41 18 楼 0 很奇怪，我dump下来并修复后，只能在xp系统下运行，换成2000下就出错。
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 2005-12-9 10:52 19 楼 0 我用我的第三内存法到这： 0101BB50 6A 00 push 0 0101BB52 57 push edi 0101BB53 FF11 call [dword ds:ecx] 0101BB55 8BC6 mov eax,esi 0101BB57 5A pop edx 0101BB58 5E pop esi 0101BB59 5F pop edi 0101BB5A 59 pop ecx 0101BB5B 5B pop ebx 0101BB5C 5D pop ebp 0101BB5D - FFE0 jmp eax ; NOTEPAD.0100739D 0101BB5F 9D popfd 0101BB60 73 00 jnb short NOTEPAD.0101BB62 跳到这dump: 0100739D 6A 70 push 70 0100739F 68 98180001 push NOTEPAD.01001898 010073A4 E8 BF010000 call NOTEPAD.01007568 010073A9 33DB xor ebx,ebx 010073AB 53 push ebx 010073AC 8B3D CC100001 mov edi,[dword ds:10010CC] ; kernel32.GetModuleHandleA 010073B2 FFD7 call edi 010073B4 66:8138 4D5A cmp [word ds:eax],5A4D 010073B9 75 1F jnz short NOTEPAD.010073DA 运行正常！ http://bbs.pediy.com/showthread.php?s=&threadid=19248
heroqin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	heroqin 2005-12-12 02:12 20 楼 0 PECompact V2.x 这种壳我遇到过好多，可惜都未能脱壳，必须用手动的方式，还需要向楼主学习，谢谢你的这篇教程。
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 2005-12-12 08:16 21 楼 0 用RORDBG直接脱壳．
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

huangrui

发帖

回帖

RANK

关注

私信

他的文章

SafeDisc怎么脱？

[求助]dump后文件比源文件小，怎么办？

手脱PECompact V2.55

[原创]修正linux下拨号认证程序xrgsu的bug

让侦测工具把壳识别为VC++

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 2005-5-7 11:21 2 楼 0 学习一下！
Lyeses 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 50 粉丝 0 关注私信	Lyeses 2005-5-7 12:00 3 楼 0 收藏了，感谢楼主~~
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2005-5-7 14:06 4 楼 0 鼓励一下 HE EIP不是通用方法，教程已经说明了
泡泡雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	泡泡 2005-8-19 12:16 5 楼 0 我照着楼主的步骤一步步走下来了，到最后用ImportREC修复输入表的时候，不知道oep应该添什么。试过添739D,修复出来的程序能运行,但用exescope不能编辑里面的资源,是不是没完全脱壳？请高手指点一下，谢谢。本人刚开始学脱壳，还是只小菜鸟
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 2005-8-19 14:22 6 楼 0 最初由泡泡发布我照着楼主的步骤一步步走下来了，到最后用ImportREC修复输入表的时候，不知道oep应该添什么。试过添739D,修复出来的程序能运行,但用exescope不能编辑里面的资源,是不是没完全脱壳？请高手指点一下，谢谢。本人刚开始学脱壳，还是只小菜鸟 FIXres
泡泡雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	泡泡 2005-8-19 15:03 7 楼 0 谢谢闪电狼回答我的问题，但我不知道怎么修复资源？麻烦你说的详细些。谢谢
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 2005-8-19 15:45 8 楼 0 最初由泡泡发布谢谢闪电狼回答我的问题，但我不知道怎么修复资源？麻烦你说的详细些。谢谢 soft: freeRes.exe FIXresdemo.exe(http://dREAMtHEATER.reg365.com)
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 2005-8-19 16:19 9 楼 0
泡泡雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	泡泡 2005-8-19 16:28 10 楼 0 谢谢闪电狼，用freeRes.exe打开脱壳后的程序，然后建立可编辑的资源这下就可以用exescope编辑，十分感谢多问一句，是不是脱壳后的程序都要用freeRes修复一下资源？如果我想手动修复资源应该怎么做？能指点两篇这方面的资料吗？再次感谢！
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 2005-8-19 16:30 11 楼 0 最初由泡泡发布谢谢闪电狼，用freeRes.exe打开脱壳后的程序，然后建立可编辑的资源这下就可以用exescope编辑，十分感谢多问一句，是不是脱壳后的程序都要用freeRes修复一下资源？如果我想手动修复资源应该怎么做？能指点两篇这方面的资料吗？再次感谢！不一定.. 有工具干吗还要手动.. 浪费时间!!
6633221 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	6633221 2005-8-19 16:52 12 楼 0 学习一下！！！
hyd009 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	hyd009 2005-8-20 13:10 13 楼 0 不需要修复啊
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 2005-8-21 12:37 14 楼 0 直接脱壳程序就能运行了
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 2005-8-21 13:05 15 楼 0 最初由夜凉如水发布直接脱壳程序就能运行了他要编辑资源
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 2005-8-21 13:17 16 楼 0 哦了不好意思啊 ! 上面的问和答有出处 !!
yy3261 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	yy3261 2005-9-24 17:02 17 楼 0 最初由泡泡发布我照着楼主的步骤一步步走下来了，到最后用ImportREC修复输入表的时候，不知道oep应该添什么。试过添739D,修复出来的程序能运行,但用exescope不能编辑里面的资源,是不是没完全脱壳？请高手指点一下，谢谢。本人刚开始学脱壳，还是只小菜鸟我填入739d怎么不行啊？dump时的地址是0100739d吗？，应该天什么啊？
fuxuchen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	fuxuchen 2005-9-24 23:41 18 楼 0 很奇怪，我dump下来并修复后，只能在xp系统下运行，换成2000下就出错。
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 2005-12-9 10:52 19 楼 0 我用我的第三内存法到这： 0101BB50 6A 00 push 0 0101BB52 57 push edi 0101BB53 FF11 call [dword ds:ecx] 0101BB55 8BC6 mov eax,esi 0101BB57 5A pop edx 0101BB58 5E pop esi 0101BB59 5F pop edi 0101BB5A 59 pop ecx 0101BB5B 5B pop ebx 0101BB5C 5D pop ebp 0101BB5D - FFE0 jmp eax ; NOTEPAD.0100739D 0101BB5F 9D popfd 0101BB60 73 00 jnb short NOTEPAD.0101BB62 跳到这dump: 0100739D 6A 70 push 70 0100739F 68 98180001 push NOTEPAD.01001898 010073A4 E8 BF010000 call NOTEPAD.01007568 010073A9 33DB xor ebx,ebx 010073AB 53 push ebx 010073AC 8B3D CC100001 mov edi,[dword ds:10010CC] ; kernel32.GetModuleHandleA 010073B2 FFD7 call edi 010073B4 66:8138 4D5A cmp [word ds:eax],5A4D 010073B9 75 1F jnz short NOTEPAD.010073DA 运行正常！ http://bbs.pediy.com/showthread.php?s=&threadid=19248
heroqin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	heroqin 2005-12-12 02:12 20 楼 0 PECompact V2.x 这种壳我遇到过好多，可惜都未能脱壳，必须用手动的方式，还需要向楼主学习，谢谢你的这篇教程。
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 2005-12-12 08:16 21 楼 0 用RORDBG直接脱壳．
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复