菜鸟学脱PECompact 2.x壳
OD载入,有提示,选不继续分析。
00401000 > B8 F80A5900 MOV EAX,SuperRam.00590AF8 ; 停在此处
00401005 50 PUSH EAX
00401006 64:FF35 0000000>PUSH DWORD PTR FS:[0] ; F8到此
0040100D 64:8925 0000000>MOV DWORD PTR FS:[0],ESP ; 下断 HR ESP
00401014 33C0 XOR EAX,EAX
00401016 8908 MOV DWORD PTR DS:[EAX],ECX
00401018 50 PUSH EAX
00401019 45 INC EBP
0040101A 43 INC EBX
0040101B 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O 命令
0040101C 6D INS DWORD PTR ES:[EDI],DX ; I/O 命令
在0040100D处下断 HR ESP,F9 来到下面:
00590B27 83C4 04 ADD ESP,4
00590B2A 55 PUSH EBP
00590B2B 53 PUSH EBX
00590B2C 51 PUSH ECX
00590B2D 57 PUSH EDI
00590B2E 56 PUSH ESI
00590B2F 52 PUSH EDX
00590B30 8D98 57120010 LEA EBX,DWORD PTR DS:[EAX+10001257]
00590B36 8B53 18 MOV EDX,DWORD PTR DS:[EBX+18]
-------------省略------------------
00590B9E 8BF0 MOV ESI,EAX
00590BA0 8B4B 14 MOV ECX,DWORD PTR DS:[EBX+14]
00590BA3 5A POP EDX
00590BA4 EB 0C JMP SHORT SuperRam.00590BB2
00590BA6 03CA ADD ECX,EDX
00590BA8 68 00800000 PUSH 8000
00590BAD 6A 00 PUSH 0
00590BAF 57 PUSH EDI
00590BB0 FF11 CALL NEAR DWORD PTR DS:[ECX]
00590BB2 8BC6 MOV EAX,ESI
00590BB4 5A POP EDX
00590BB5 5E POP ESI
00590BB6 5F POP EDI
00590BB7 59 POP ECX
00590BB8 5B POP EBX
00590BB9 5D POP EBP
00590BBA FFE0 JMP NEAR EAX
中间没有回跳、循环,一路F8到此。JMP到下面:
0048DFB8 55 PUSH EBP ; OEP
0048DFB9 8BEC MOV EBP,ESP
0048DFBB B9 37000000 MOV ECX,37
0048DFC0 6A 00 PUSH 0
0048DFC2 6A 00 PUSH 0
0048DFC4 49 DEC ECX
0048DFC5 ^ 75 F9 JNZ SHORT SuperRam.0048DFC0
在0048DFB8处,OllyDump脱壳(方式1),保存后可以运行。
在0040100D处下断 HR ESP,F9 来到下面,这个是什么意思?下完断直接F9就会到这里吗?可是我按F9就走一步 不走了
; OEP是什么意思?
中间没有回跳、循环,一路F8到此。JMP到下面: 是什么意思?一直按F8或者向下箭头就脱完了吗?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
