首页
社区
课程
招聘
[求助]再次求教 PeCompact压缩草后的DLL 附加壳档
发表于: 2006-2-10 10:21 4518

[求助]再次求教 PeCompact压缩草后的DLL 附加壳档

2006-2-10 10:21
4518
今天看了peaceclub大大的 PeCompact 2.x 通用简单脱壳法 文章
http://bbs.pediy.com/showthread.php?s=&threadid=11194&highlight=%BD%F1%CC%EC%BB%B9%D3%D0%C5%F3%D3%D1%D4%DA%CE%CAPeCompact2.x%B5%C4%CD%D1%BF%C7%B7%BD%B7%A8

使用PEID0.94 查出是 PeCompact v2.08->Bitsum Technologies *
    FI 4.01a 查出是 PECompact v2.xx J.Collake   in first

调适选项  只勾选 忽略在 KERNE32 中的内存异常

00AEE6BD >  B8 9CF3AE00     mov     eax, 00AEF39C  << 载入 来到这
00AEE6C2    50              push    eax
00AEE6C3    64:FF35 0000000>push    dword ptr fs:[0]
00AEE6CA    64:8925 0000000>mov     fs:[0], esp
00AEE6D1    33C0            xor     eax, eax
00AEE6D3    8908            mov     [eax], ecx     << 按第一次 F9 访问违规:正在写到[00000000]
00AEE6D5    50              push    eax
00AEE6D6    45              inc     ebp

==============================================
0007F348   0007F464  指向下一个 SEH 记录的指针
0007F34C   00AEF39C  SE处理程序                    <<< 按 Ctrl + G 输入 00AEF39C
0007F350   00410A73  返回到 LOADDLL.00410A73
=============================================

00AEF39C    B8 4AE1AEF0     mov     eax, F0AEE14A         <<< Enter 后来到这 向下找 jmp     eax
00AEF3A1    8D88 75120010   lea     ecx, [eax+10001275]
00AEF3A7    8941 01         mov     [ecx+1], eax
00AEF3AA    8B5424 04       mov     edx, [esp+4]
00AEF3AE    8B52 0C         mov     edx, [edx+C]
00AEF3B1    C602 E9         mov     byte ptr [edx], 0E9
00AEF3B4    83C2 05         add     edx, 5
00AEF3B7    2BCA            sub     ecx, edx

    ~~~~~~~ 跳过 N 行后 ~~~~~~~~

00AEF458    5A              pop     edx
00AEF459    5E              pop     esi
00AEF45A    5F              pop     edi
00AEF45B    59              pop     ecx
00AEF45C    5B              pop     ebx
00AEF45D    5D              pop     ebp
00AEF45E    FFE0            jmp     eax         << 找到了 记下 00AEF45E
00AEF460    0000            add     [eax], al
00AEF462    0000            add     [eax], al
00AEF464    0000            add     [eax], al
00AEF466    0000            add     [eax], al
00AEF468    0000            add     [eax], al

============================================================

00AEE6BD >  B8 9CF3AE00     mov     eax, 00AEF39C << 用OllyICE 重新载入 来到这

下硬件执行断点: HE 00AEF45E

00AEE6C2    50              push    eax
00AEE6C3    64:FF35 0000000>push    dword ptr fs:[0]
00AEE6CA    64:8925 0000000>mov     fs:[0], esp
00AEE6D1    33C0            xor     eax, eax
00AEE6D3    8908            mov     [eax], ecx         << 按第一次 F9 到这 访问违规:正在写到[00000000]
00AEE6D5    50              push    eax
00AEE6D6    45              inc     ebp
00AEE6D7    43              inc     ebx

按下 Shift + F9

00AEF45E  - FFE0            jmp     eax       << 按下 Shift + F9 到这  ; MSEqjUI.00A2D854
00AEF460    54              push    esp
00AEF461    D8A2 00000000   fsub    dword ptr [edx]
00AEF467    0000            add     [eax], al
00AEF469    0000            add     [eax], al
00AEF46B    0000            add     [eax], al
00AEF46D    0000            add     [eax], al

按下 F8 来到好奇怪的地方 ~~~~~

00A2D854      55            db      55                               ;  CHAR 'U'
00A2D855      8B            db      8B
00A2D856      EC            db      EC
00A2D857      83            db      83
00A2D858      C4            db      C4
00A2D859      C4            db      C4
00A2D85A      B8            db      B8
00A2D85B      3C            db      3C                               ;  CHAR '<'

再来我应如何 请教各位  谢谢 ~~~~

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
2
先把exe的脱壳搞清楚
2006-2-10 10:28
0
雪    币: 221
活跃值: (835)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
谢谢 fly 大大
2006-2-10 10:59
0
雪    币: 233
活跃值: (130)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
4
00AEF44C    68 00800000     push    8000
00AEF451    6A 00           push    0
00AEF453    57              push    edi
00AEF454    FF11            call    [ecx]
00AEF456    8BC6            mov     eax, esi
00AEF458    5A              pop     edx
00AEF459    5E              pop     esi
00AEF45A    5F              pop     edi
00AEF45B    59              pop     ecx
00AEF45C    5B              pop     ebx
00AEF45D    5D              pop     ebp
00AEF45E    FFE0            jmp     eax
2006-2-10 11:04
0
雪    币: 221
活跃值: (835)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
谢谢 南蛮妈妈 >< 看来我还要再多磨炼 因为 .....
2006-2-10 11:16
0
游客
登录 | 注册 方可回帖
返回
//