PEiD检查为壳:PECompact 2.x -> Jeremy Collake
根据大侠们的贴子用OD退进去,找到此处:
006762A8 8B4B 14 mov ecx, dword ptr [ebx+14]
006762AB 5A pop edx
006762AC EB 0C jmp short 006762BA
006762AE 03CA add ecx, edx
006762B0 68 00800000 push 8000
006762B5 6A 00 push 0
006762B7 57 push edi
006762B8 FF11 call dword ptr [ecx]
006762BA 8BC6 mov eax, esi
006762BC 5A pop edx
006762BD 5E pop esi
006762BE 5F pop edi
006762BF 59 pop ecx
006762C0 5B pop ebx
006762C1 5D pop ebp
006762C2 - FFE0 jmp eax ; dlqsp_1.<模块入口点>
006762C4 ^ 78 EC js short 006762B2
006762C6 5C pop esp
F8退进去,却看起来不是真正的OEP所在:
005CEC76 5E db 5E ; CHAR '^'
005CEC77 C3 db C3
005CEC78 >/$ 68 87EC5C00 push 005CEC87
005CEC7D |. 68 73965C00 push 005C9673
005CEC82 |?^ E9 D2FFFFFF jmp 005CEC59
005CEC87 |? 50 push eax
005CEC88 |? 50 push eax
005CEC89 |? FF35 58104000 push dword ptr [401058]
005CEC8F |?^ E9 AEFFFFFF jmp 005CEC42
005CEC94 |.- FF25 78124000 jmp dword ptr [401278] ; msvcrt.operator delete
005CEC9A |.- FF25 74124000 jmp dword ptr [401274] ; msvcrt.strcmp
005CECA0 .- FF25 60124000 jmp dword ptr [401260] ; msvcrt.strcat
再跟进去就成了:
005CEC59 56 db 56 ; CHAR 'V'
005CEC5A FC db FC
005CEC5B BE db BE
005CEC5C 9C db 9C
005CEC5D . 1240 00 adc al, byte ptr [eax]
005CEC60 EB db EB
005CEC61 07 db 07
005CEC62 AD db AD
005CEC63 0B db 0B
005CEC64 C0 db C0
005CEC65 74 db 74 ; CHAR 't'
这是为什么呀,用了脱壳机也不行。
哪个大侠帮一下忙,怎么样才能脱掉这个壳。
软件地址:
http://www.xp13.com/dlqsp3.exe