首页
社区
课程
招聘
[求助]这个用PECompact 壳,防OD,请高手帮忙
发表于: 2007-4-3 14:26 5728

[求助]这个用PECompact 壳,防OD,请高手帮忙

2007-4-3 14:26
5728
这个DLL文件用PECompact 1.68 - 1.84 -> Jeremy Collake这个壳,还反OD,我用LOADDLL,一载入就就提示:UNABLE TO LOAD DLL。哪位高手指点下。谢谢

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
2
是无法载入
可能缺少文件
2007-4-3 18:04
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
不是,有一些是会反OD的,一载入就挂掉了
2007-4-4 00:39
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
4
找个DLL载入器,用OllyDbg载入Dll_LoadEx.exe
通过Dll_LoadEx.exe载入此DLL进行调试
2007-4-4 13:25
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
你好,版主,我用你讲的方法,也不能载入,一用就提示:can't load this dll!
2007-4-9 14:44
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
试试w32asm,将其中反OD的地方动动
2007-4-9 18:10
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
7
试试这个
http://www.pediy.com/tools/PE_tools/dll_loader/Dll_LoadEx_WiNrOOt.rar
2007-4-9 21:03
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
我也个壳谁帮忙脱下
2007-4-9 21:30
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
PEiD检查为壳:PECompact 2.x -> Jeremy Collake
根据大侠们的贴子用OD退进去,找到此处:

006762A8    8B4B 14         mov     ecx, dword ptr [ebx+14]
006762AB    5A              pop     edx
006762AC    EB 0C           jmp     short 006762BA
006762AE    03CA            add     ecx, edx
006762B0    68 00800000     push    8000
006762B5    6A 00           push    0
006762B7    57              push    edi
006762B8    FF11            call    dword ptr [ecx]
006762BA    8BC6            mov     eax, esi
006762BC    5A              pop     edx
006762BD    5E              pop     esi
006762BE    5F              pop     edi
006762BF    59              pop     ecx
006762C0    5B              pop     ebx
006762C1    5D              pop     ebp
006762C2  - FFE0            jmp     eax             ; dlqsp_1.<模块入口点>
006762C4  ^ 78 EC           js      short 006762B2
006762C6    5C              pop     esp

F8退进去,却看起来不是真正的OEP所在:
005CEC76      5E            db      5E                               ;  CHAR '^'
005CEC77      C3            db      C3
005CEC78 >/$  68 87EC5C00   push    005CEC87
005CEC7D  |.  68 73965C00   push    005C9673
005CEC82  |?^ E9 D2FFFFFF   jmp     005CEC59
005CEC87  |?  50            push    eax
005CEC88  |?  50            push    eax
005CEC89  |?  FF35 58104000 push    dword ptr [401058]
005CEC8F  |?^ E9 AEFFFFFF   jmp     005CEC42
005CEC94  |.- FF25 78124000 jmp     dword ptr [401278]        ;  msvcrt.operator delete
005CEC9A  |.- FF25 74124000 jmp     dword ptr [401274]        ;  msvcrt.strcmp
005CECA0   .- FF25 60124000 jmp     dword ptr [401260]        ;  msvcrt.strcat

再跟进去就成了:
005CEC59      56            db      56                               ;  CHAR 'V'
005CEC5A      FC            db      FC
005CEC5B      BE            db      BE
005CEC5C      9C            db      9C
005CEC5D   .  1240 00       adc     al, byte ptr [eax]
005CEC60      EB            db      EB
005CEC61      07            db      07
005CEC62      AD            db      AD
005CEC63      0B            db      0B
005CEC64      C0            db      C0
005CEC65      74            db      74                               ;  CHAR 't'

这是为什么呀,用了脱壳机也不行。
哪个大侠帮一下忙,怎么样才能脱掉这个壳。

软件地址:http://www.xp13.com/dlqsp3.exe
2007-4-10 14:03
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
是什么软件来的
2007-4-11 12:44
0
游客
登录 | 注册 方可回帖
返回
//