[求助]PECompact壳分析不下去了看雪fly指导下-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]PECompact壳分析不下去了看雪fly指导下

发表于: 2006-2-9 18:38 4034

[求助]PECompact壳分析不下去了看雪fly指导下

刀影飞舞

2006-2-9 18:38

4034

用PEid查是:PECompact 1.4x
Fi查是:PECompact V1.56-1.84

不管他了,直接用fly修改的flyODBG载入如下:
004E9B5B > /EB 06          jmp short tzking.004E9B63  //入口处
004E9B5D |68 78563412    push 12345678    //
004E9B62 |C3             retn
004E9B63 \9C             pushfd
004E9B64 60             pushad
004E9B65 E8 02000000    call tzking.004E9B6C  //F7跟进
004E9B6A 33C0          xor eax,eax
004E9B6C 8BC4          mov eax,esp       //来到这里
004E9B6E 83C0 04       add eax,4
004E9B71 93             xchg eax,ebx
004E9B72 8BE3          mov esp,ebx
004E9B74 8B5B FC       mov ebx,dword ptr ds:[ebx-4]
004E9B77 81EB 3F900000 sub ebx,903F
004E9B7D 61             popad
004E9B7E 9D             popfd
004E9B7F  ^ E9 4DF5FEFF    jmp tzking.004D90D1 //向上跳
004E9B84 0000          add byte ptr ds:[eax],al
004E9B86 0000          add byte ptr ds:[eax],al
004E9B88 0000          add byte ptr ds:[eax],al
004E9B8A 0000          add byte ptr ds:[eax],al
004E9B8C 0000          add byte ptr ds:[eax],al
004E9B8E 0000          add byte ptr ds:[eax],al
004E9B90 0000          add byte ptr ds:[eax],al
004E9B92 0000          add byte ptr ds:[eax],al
004E9B94 0000          add byte ptr ds:[eax],al
004E9B96 0000          add byte ptr ds:[eax],al
004E9B98 0000          add byte ptr ds:[eax],al
004E9B9A 0000          add byte ptr ds:[eax],al
004E9B9C 0000          add byte ptr ds:[eax],al
......
下面就全是这个:  0000          add byte ptr ds:[eax],al

===================
我找了PECompact的好多版本的脱方只是前面相同后就不同了。
怎么看也不像是PEcompack的壳啊,PEcompack的壳没这么难脱啊

另听说下HE EIP断点脱PEcompack的壳有这个小技巧，试了下能断下
003740DC F8             clc
003740DD 90             nop
003740DE 8DB5 352E4000 lea esi,dword ptr ss:[ebp+402E35]
003740E4 9C             pushfd
003740E5 6A 03          push 3
003740E7 73 0B          jnb short 003740F4
003740E9 EB 02          jmp short 003740ED
003740EB 75 75          jnz short 00374162
003740ED E8 06000000    call 003740F8
003740F2 66:35 73F7    xor ax,0F773
003740F6 EB 1D          jmp short 00374115
003740F8 83C4 04       add esp,4
003740FB EB 02          jmp short 003740FF
003740FD 75 75          jnz short 00374174
003740FF FF0C24          dec dword ptr ss:[esp]
00374102 71 01          jno short 00374105
00374104 71 79          jno short 0037417F
00374106 E0 7A          loopdne short 00374182
00374108 0175 83       add dword ptr ss:[ebp-7D],esi
0037410B C4049D EB0175B9  les eax,fword ptr ds:[ebx*4+B97501>
......

还是没找到OEP请高手指点下，这是什么壳，怎么有点像某人的壳。。。要真是他
的壳我就不碰他了。。。

谁知道这壳具体的叫什么马烦下面跟帖告诉我下谢谢了

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (2)
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 2 楼像是伪装的 2006-2-9 18:57 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 3 楼 hying的壳 2006-2-10 01:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

刀影飞舞

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 2 楼像是伪装的 2006-2-9 18:57 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 3 楼 hying的壳 2006-2-10 01:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]PECompact壳分析不下去了 看雪fly指导下

[求助]PECompact壳分析不下去了看雪fly指导下