首页
社区
课程
招聘
[旧帖] PECompact 2.x加的壳,脱不了呀,急急!!!!!!!![求助] 0.00雪花
发表于: 2007-4-10 14:05 6172

[旧帖] PECompact 2.x加的壳,脱不了呀,急急!!!!!!!![求助] 0.00雪花

2007-4-10 14:05
6172
PEiD检查为壳:PECompact 2.x -> Jeremy Collake
根据大侠们的贴子用OD退进去,找到此处:

006762A8    8B4B 14         mov     ecx, dword ptr [ebx+14]
006762AB    5A              pop     edx
006762AC    EB 0C           jmp     short 006762BA
006762AE    03CA            add     ecx, edx
006762B0    68 00800000     push    8000
006762B5    6A 00           push    0
006762B7    57              push    edi
006762B8    FF11            call    dword ptr [ecx]
006762BA    8BC6            mov     eax, esi
006762BC    5A              pop     edx
006762BD    5E              pop     esi
006762BE    5F              pop     edi
006762BF    59              pop     ecx
006762C0    5B              pop     ebx
006762C1    5D              pop     ebp
006762C2  - FFE0            jmp     eax             ; dlqsp_1.<模块入口点>
006762C4  ^ 78 EC           js      short 006762B2
006762C6    5C              pop     esp

F8退进去,却看起来不是真正的OEP所在:
005CEC76      5E            db      5E                               ;  CHAR '^'
005CEC77      C3            db      C3
005CEC78 >/$  68 87EC5C00   push    005CEC87
005CEC7D  |.  68 73965C00   push    005C9673
005CEC82  |?^ E9 D2FFFFFF   jmp     005CEC59
005CEC87  |?  50            push    eax
005CEC88  |?  50            push    eax
005CEC89  |?  FF35 58104000 push    dword ptr [401058]
005CEC8F  |?^ E9 AEFFFFFF   jmp     005CEC42
005CEC94  |.- FF25 78124000 jmp     dword ptr [401278]        ;  msvcrt.operator delete
005CEC9A  |.- FF25 74124000 jmp     dword ptr [401274]        ;  msvcrt.strcmp
005CECA0   .- FF25 60124000 jmp     dword ptr [401260]        ;  msvcrt.strcat

再跟进去就成了:
005CEC59      56            db      56                               ;  CHAR 'V'
005CEC5A      FC            db      FC
005CEC5B      BE            db      BE
005CEC5C      9C            db      9C
005CEC5D   .  1240 00       adc     al, byte ptr [eax]
005CEC60      EB            db      EB
005CEC61      07            db      07
005CEC62      AD            db      AD
005CEC63      0B            db      0B
005CEC64      C0            db      C0
005CEC65      74            db      74                               ;  CHAR 't'

这是为什么呀,用了脱壳机也不行。
哪个大侠帮一下忙,怎么样才能脱掉这个壳。

软件地址:http://www.xp13.com/dlqsp3.exe

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 154
活跃值: (80)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
005C9673就是OEP了 修复我不会,搞不懂如何让dump后的程序和原来的具有同样堆栈环境
005C6030=dlqsp3.005C6030 (ASCII "[2006.1.28] CHKen C++(x86/x64) Runtime Library!")这就是奥妙所在?
2007-4-10 17:42
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
谢谢二楼的朋友先,俺看看,
2007-4-10 20:48
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不知是不是我太笨,就是不知道JMP进去过后那些代码全是db之类的。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
2007-4-10 21:03
0
雪    币: 154
活跃值: (80)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
右键-->模块中删除分析
2007-4-10 23:09
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
脱了PECompact 2.x ,还有未知壳.
2007-4-11 16:13
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
软件可以加多层壳??那怎么脱哟。。。。。。。。。。。。。。。。。。。。。。。
2007-4-11 19:12
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
F7走,遇到异常过,F8走,不远就是。。。。。。。。
2007-4-12 11:51
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
楼主软件可以脱壳啊,我也是新手,我试了,
2007-4-26 11:27
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
楼主软件可以脱壳啊,我也是新手,我试了
2007-4-26 11:27
0
游客
登录 | 注册 方可回帖
返回
//