[求助]这个用PECompact 壳，防OD，请高手帮忙-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼是无法载入可能缺少文件 2007-4-3 18:04 0
古月似乡雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	古月似乡 3 楼不是，有一些是会反OD的，一载入就挂掉了 2007-4-4 00:39 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼找个DLL载入器，用OllyDbg载入Dll_LoadEx.exe 通过Dll_LoadEx.exe载入此DLL进行调试 2007-4-4 13:25 0
lrlzzgs 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 34 粉丝 0 关注私信	lrlzzgs 5 楼你好，版主，我用你讲的方法，也不能载入，一用就提示：can't load this dll! 2007-4-9 14:44 0
likemasm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	likemasm 6 楼试试w32asm,将其中反OD的地方动动 2007-4-9 18:10 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼试试这个 http://www.pediy.com/tools/PE_tools/dll_loader/Dll_LoadEx_WiNrOOt.rar 2007-4-9 21:03 0
wange 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	wange 8 楼我也个壳谁帮忙脱下 2007-4-9 21:30 0
wqawuming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	wqawuming 9 楼 PEiD检查为壳:PECompact 2.x -> Jeremy Collake 根据大侠们的贴子用OD退进去，找到此处： 006762A8 8B4B 14 mov ecx, dword ptr [ebx+14] 006762AB 5A pop edx 006762AC EB 0C jmp short 006762BA 006762AE 03CA add ecx, edx 006762B0 68 00800000 push 8000 006762B5 6A 00 push 0 006762B7 57 push edi 006762B8 FF11 call dword ptr [ecx] 006762BA 8BC6 mov eax, esi 006762BC 5A pop edx 006762BD 5E pop esi 006762BE 5F pop edi 006762BF 59 pop ecx 006762C0 5B pop ebx 006762C1 5D pop ebp 006762C2 - FFE0 jmp eax ; dlqsp_1.<模块入口点> 006762C4 ^ 78 EC js short 006762B2 006762C6 5C pop esp F8退进去,却看起来不是真正的OEP所在： 005CEC76 5E db 5E ; CHAR '^' 005CEC77 C3 db C3 005CEC78 >/$ 68 87EC5C00 push 005CEC87 005CEC7D \|. 68 73965C00 push 005C9673 005CEC82 \|?^ E9 D2FFFFFF jmp 005CEC59 005CEC87 \|? 50 push eax 005CEC88 \|? 50 push eax 005CEC89 \|? FF35 58104000 push dword ptr [401058] 005CEC8F \|?^ E9 AEFFFFFF jmp 005CEC42 005CEC94 \|.- FF25 78124000 jmp dword ptr [401278] ; msvcrt.operator delete 005CEC9A \|.- FF25 74124000 jmp dword ptr [401274] ; msvcrt.strcmp 005CECA0 .- FF25 60124000 jmp dword ptr [401260] ; msvcrt.strcat 再跟进去就成了： 005CEC59 56 db 56 ; CHAR 'V' 005CEC5A FC db FC 005CEC5B BE db BE 005CEC5C 9C db 9C 005CEC5D . 1240 00 adc al, byte ptr [eax] 005CEC60 EB db EB 005CEC61 07 db 07 005CEC62 AD db AD 005CEC63 0B db 0B 005CEC64 C0 db C0 005CEC65 74 db 74 ; CHAR 't' 这是为什么呀，用了脱壳机也不行。哪个大侠帮一下忙，怎么样才能脱掉这个壳。软件地址：http://www.xp13.com/dlqsp3.exe 2007-4-10 14:03 0
zylyw 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	zylyw 10 楼是什么软件来的 2007-4-11 12:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼是无法载入可能缺少文件 2007-4-3 18:04 0
古月似乡雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	古月似乡 3 楼不是，有一些是会反OD的，一载入就挂掉了 2007-4-4 00:39 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼找个DLL载入器，用OllyDbg载入Dll_LoadEx.exe 通过Dll_LoadEx.exe载入此DLL进行调试 2007-4-4 13:25 0
lrlzzgs 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 34 粉丝 0 关注私信	lrlzzgs 5 楼你好，版主，我用你讲的方法，也不能载入，一用就提示：can't load this dll! 2007-4-9 14:44 0
likemasm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	likemasm 6 楼试试w32asm,将其中反OD的地方动动 2007-4-9 18:10 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼试试这个 http://www.pediy.com/tools/PE_tools/dll_loader/Dll_LoadEx_WiNrOOt.rar 2007-4-9 21:03 0
wange 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	wange 8 楼我也个壳谁帮忙脱下 2007-4-9 21:30 0
wqawuming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	wqawuming 9 楼 PEiD检查为壳:PECompact 2.x -> Jeremy Collake 根据大侠们的贴子用OD退进去，找到此处： 006762A8 8B4B 14 mov ecx, dword ptr [ebx+14] 006762AB 5A pop edx 006762AC EB 0C jmp short 006762BA 006762AE 03CA add ecx, edx 006762B0 68 00800000 push 8000 006762B5 6A 00 push 0 006762B7 57 push edi 006762B8 FF11 call dword ptr [ecx] 006762BA 8BC6 mov eax, esi 006762BC 5A pop edx 006762BD 5E pop esi 006762BE 5F pop edi 006762BF 59 pop ecx 006762C0 5B pop ebx 006762C1 5D pop ebp 006762C2 - FFE0 jmp eax ; dlqsp_1.<模块入口点> 006762C4 ^ 78 EC js short 006762B2 006762C6 5C pop esp F8退进去,却看起来不是真正的OEP所在： 005CEC76 5E db 5E ; CHAR '^' 005CEC77 C3 db C3 005CEC78 >/$ 68 87EC5C00 push 005CEC87 005CEC7D \|. 68 73965C00 push 005C9673 005CEC82 \|?^ E9 D2FFFFFF jmp 005CEC59 005CEC87 \|? 50 push eax 005CEC88 \|? 50 push eax 005CEC89 \|? FF35 58104000 push dword ptr [401058] 005CEC8F \|?^ E9 AEFFFFFF jmp 005CEC42 005CEC94 \|.- FF25 78124000 jmp dword ptr [401278] ; msvcrt.operator delete 005CEC9A \|.- FF25 74124000 jmp dword ptr [401274] ; msvcrt.strcmp 005CECA0 .- FF25 60124000 jmp dword ptr [401260] ; msvcrt.strcat 再跟进去就成了： 005CEC59 56 db 56 ; CHAR 'V' 005CEC5A FC db FC 005CEC5B BE db BE 005CEC5C 9C db 9C 005CEC5D . 1240 00 adc al, byte ptr [eax] 005CEC60 EB db EB 005CEC61 07 db 07 005CEC62 AD db AD 005CEC63 0B db 0B 005CEC64 C0 db C0 005CEC65 74 db 74 ; CHAR 't' 这是为什么呀，用了脱壳机也不行。哪个大侠帮一下忙，怎么样才能脱掉这个壳。软件地址：http://www.xp13.com/dlqsp3.exe 2007-4-10 14:03 0
zylyw 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	zylyw 10 楼是什么软件来的 2007-4-11 12:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复