【文章标题】: 脱壳练习（PECompact2.5)
【文章作者】: Wucheng
【软件名称】: 记事本
【使用工具】: OD、
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  菜鸟脱壳，高手略过。
  OD载入程序，停在下面
  01001000 >  B8 24190101     mov     eax, 01011924
  01001005    50              push    eax                              ; PECompac.01011924
  01001006    64:FF35 0000000>push    dword ptr fs:[0]
  0100100D    64:8925 0000000>mov     dword ptr fs:[0], esp
  01001014    33C0            xor     eax, eax
  01001016    8908            mov     dword ptr [eax], ecx
  
  F8两次，然后在ESP处下硬件访问断点，F9四次后到达如下处
  010119E6  - FFE0            jmp     eax                              ; PECompac.01006420
  
  再F8一次可以看到已经到达OEP：
  01006420    55              push    ebp
  01006421    8BEC            mov     ebp, esp
  01006423    6A FF           push    -1
  01006425    68 88180001     push    01001888
  0100642A    68 D0650001     push    010065D0                         ; jmp 到 msvcrt._except_handler3
  0100642F    64:A1 00000000  mov     eax, dword ptr fs:[0]
  01006435    50              push    eax
  01006436    64:8925 0000000>mov     dword ptr fs:[0], esp
  0100643D    83C4 98         add     esp, -68
  01006440    53              push    ebx
  01006441    56              push    esi
  01006442    57              push    edi
  01006443    8965 E8         mov     dword ptr [ebp-18], esp
  01006446    C745 FC 0000000>mov     dword ptr [ebp-4], 0
  0100644D    6A 02           push    2
  0100644F    FF15 60110001   call    dword ptr [1001160]              ; msvcrt.__set_app_type
  
  dump出来，记事本成功运行，收工。
  
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2007年01月04日 20:06:11

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！