[原创]PECompact 2.x -> Jeremy Collake脱壳-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]PECompact 2.x -> Jeremy Collake脱壳 0.00雪花

发表于: 2008-3-27 16:25 14533

[旧帖] [原创]PECompact 2.x -> Jeremy Collake脱壳 0.00雪花

birdcfly

2008-3-27 16:25

14533

DUTool 钠米机器人下载器
PEID->PECompact 2.x -> Jeremy Collake
OD忽略所有异常，载入
00401000 >  B8 94B84700    mov    eax, 0047B894
00401005 50             push eax
00401006 64:FF35 0000000>push dword ptr fs:[0]
0040100D 64:8925 0000000>mov    dword ptr fs:[0], esp

单步几下,看寄存器窗口出现SEH：
0012FFBC 0012FFE0  Pointer to next SEH record
0012FFC0 0047B894  SE handler
0012FFC4 7C816D4F  RETURN to kernel32.7C816D4F

Ctrl+G 0047B894 F2下断,Shift+F9 取消断点

0047B894 B8 19A647F0    mov    eax, F047A619
0047B899 8D88 9E120010 lea    ecx, dword ptr [eax+1000129E]
0047B89F 8941 01       mov    dword ptr [ecx+1], eax

bp VirtualAlloc  F9,取消断点，Alt+F9返回

0047B8ED 5A             pop    edx             ; DUTool.00400000
0047B8EE 8BF8          mov    edi, eax
0047B8F0 50             push eax
0047B8F1 52             push edx

F8单步一路下去，到
0047B953 59             pop    ecx
0047B954 5B             pop    ebx                ; 7FFDE000
0047B955 5D             pop    ebp
0047B956 FFE0          jmp    eax       //OEP了

汇编的，脱壳+修复（全部正常），可以运行

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・0

支持

最新回复 (18)
scrappy 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 9 回帖 39 粉丝 0 关注私信	scrappy 2 楼单步几下,看寄存器窗口出现SEH： 0012FFBC 0012FFE0 Pointer to next SEH record 我F8好几下都不到0012FFBC 这里！楼主能不能详细点写呀！ 2008-3-27 22:56 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 3 楼寄存器窗口: 0012FFBC 0012FFE0 Pointer to next SEH record 0012FFC0 0047B894 SE handler 0012FFC4 7C816D4F RETURN to kernel32.7C816D4F 看这一行: 0012FFC0 0047B894 SE handler SEH句柄 2008-3-27 23:06 0
gagemel 雪币： 13 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	gagemel 4 楼 i`ll study this tip~~~~ 2008-3-28 01:16 0
ultralqxq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 17 粉丝 0 关注私信	ultralqxq 5 楼楼主能否帮我把WPE也脱一下壳啊！！它也是PECompact 2.x -> Jeremy Collake壳。可我是菜鸟中的菜鸟。。无从下手。。上传的附件： WpePro1.0c.rar （300.46kb，43次下载） 2008-3-28 01:52 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 6 楼单步(我这里4下) 00401014 33C0 xor eax, eax ; wpe_pro.004EFAB8 看堆栈: 0012FFBC 0012FFE0 指向下一个 SEH 记录的指针 0012FFC0 004EFAB8 SE处理程序 0012FFC4 7C816D4F 返回到 kernel32.7C816D4F Ctrl+G 004EFAB8 F2下断,Shift+F9,取消断点,停在这里: 004EFAB8 B8 2CE94EF0 mov eax, F04EE92C 004EFABD 8D88 AF110010 lea ecx, dword ptr [eax+100011AF] 004EFAC3 8941 01 mov dword ptr [ecx+1], eax bp VirtualAlloc F9,取消断点，Alt+F9返回,停在这里: 003800C0 58 pop eax 003800C1 EB 03 jmp short 003800C6 003800C3 33C0 xor eax, eax 单步F8下去(往回跳的不能让它跳回去,用F4):一直到这里 004EFB83 5B pop ebx 004EFB84 5D pop ebp 004EFB85 - FFE0 jmp eax ; wpe_pro.0044E076 //OEP入口 vc++的,脱壳+修复(全部正常),可以运行回帖怎么+附件(请教) 2008-3-28 11:31 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 7 楼脱好的在这里,文件在我瑞星上是报毒的，直接被删除 http://www.namipan.com/d/WpePro1.0c.rar/faa4778fa3318c23e4ab548e18afe8617402c922308d0900 2008-3-28 11:34 0
pack三九雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 80 粉丝 0 关注私信	pack三九 8 楼 00401000 > B8 94B84700 mov eax, 0047B894 在这一句下硬件执行断点，F9运行，壳就解压了吧 2008-3-28 14:07 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 9 楼 00380B20 E8 47060000 call 0038116C 到这里才解压 2008-3-28 17:43 0
pack三九雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 80 粉丝 0 关注私信	pack三九 10 楼 0047B956 - FFE0 jmp eax ; DUTool.00433EED 跟了一下，呵呵！ 2008-3-28 18:30 0
frozenrain 雪币： 107 活跃值： (1693) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 11 楼 2次ESP定律就搞定了 2008-3-28 19:38 0
scrappy 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 9 回帖 39 粉丝 0 关注私信	scrappy 12 楼我还是没搞定`` 能不能再详细点呀！ 2008-3-29 06:17 0
scrappy 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 9 回帖 39 粉丝 0 关注私信	scrappy 13 楼继续是给新兵的看的。建议说的仔细点比如按执行什么！下断点按F几到哪再按F几执行什么！到哪算脱完壳了。你这样不是和外面的一样嘛！看了等于没看！ 2008-3-29 06:30 0
scrappy 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 9 回帖 39 粉丝 0 关注私信	scrappy 14 楼 Ctrl+G 0047B894 F2下断,Shift+F9 取消断点这是啥意思？在0047B894这里按F2 然后再按SHIFT+F9吗？下了又取消？有啥意义啊？什么都不做吗？ 2008-3-29 06:32 0
scrappy 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 9 回帖 39 粉丝 0 关注私信	scrappy 15 楼 bp VirtualAlloc F9,取消断点，Alt+F9返回这个bp VirtualAlloc 在哪呀？根本没有呀？没找到呀 2008-3-29 06:33 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 16 楼自己看吧: http://www.namipan.com/d/UNDUTool.swf/2888ffa6203413e64dc93e481f36bde6e52604c378c74a00 2008-3-29 09:30 0
ultralqxq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 17 粉丝 0 关注私信	ultralqxq 17 楼谢谢这位大大，感激得泪流不止！！！真的很感谢你的帮助，我有空也学得脱一下~~~学习学习！！ PS：回帖中想添加附件：点击[进入高级模式]按钮，进入了高级回帖模式后。点下面的[管理附件]按钮。将你要上传的附件上传上来就可以了。 2008-3-30 04:34 0
mdc 雪币： 206 活跃值： (57) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mdc 18 楼感谢分享,我学起来了 2008-3-30 06:28 0
yunfeng 雪币： 269 活跃值： (51) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 489 粉丝 0 关注私信	yunfeng 1 19 楼这个壳还是比较简单的，压缩壳用ESP定律脱就好了 2008-3-30 07:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

birdcfly

发帖

回帖

RANK

关注

私信

他的文章

[求助][求助]高手来帮忙分析一下 3956
[原创]TMD的脱壳录象之DELPHI 4195
[原创]手脱Themida|WinLicense的壳 7930
[求助]求一个文件 2452
[原创]PECompact 2.x -> Jeremy Collake脱壳 14534

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
scrappy 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 9 回帖 39 粉丝 0 关注私信	scrappy 2 楼单步几下,看寄存器窗口出现SEH： 0012FFBC 0012FFE0 Pointer to next SEH record 我F8好几下都不到0012FFBC 这里！楼主能不能详细点写呀！ 2008-3-27 22:56 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 3 楼寄存器窗口: 0012FFBC 0012FFE0 Pointer to next SEH record 0012FFC0 0047B894 SE handler 0012FFC4 7C816D4F RETURN to kernel32.7C816D4F 看这一行: 0012FFC0 0047B894 SE handler SEH句柄 2008-3-27 23:06 0
gagemel 雪币： 13 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	gagemel 4 楼 i`ll study this tip~~~~ 2008-3-28 01:16 0
ultralqxq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 17 粉丝 0 关注私信	ultralqxq 5 楼楼主能否帮我把WPE也脱一下壳啊！！它也是PECompact 2.x -> Jeremy Collake壳。可我是菜鸟中的菜鸟。。无从下手。。上传的附件： WpePro1.0c.rar （300.46kb，43次下载） 2008-3-28 01:52 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 6 楼单步(我这里4下) 00401014 33C0 xor eax, eax ; wpe_pro.004EFAB8 看堆栈: 0012FFBC 0012FFE0 指向下一个 SEH 记录的指针 0012FFC0 004EFAB8 SE处理程序 0012FFC4 7C816D4F 返回到 kernel32.7C816D4F Ctrl+G 004EFAB8 F2下断,Shift+F9,取消断点,停在这里: 004EFAB8 B8 2CE94EF0 mov eax, F04EE92C 004EFABD 8D88 AF110010 lea ecx, dword ptr [eax+100011AF] 004EFAC3 8941 01 mov dword ptr [ecx+1], eax bp VirtualAlloc F9,取消断点，Alt+F9返回,停在这里: 003800C0 58 pop eax 003800C1 EB 03 jmp short 003800C6 003800C3 33C0 xor eax, eax 单步F8下去(往回跳的不能让它跳回去,用F4):一直到这里 004EFB83 5B pop ebx 004EFB84 5D pop ebp 004EFB85 - FFE0 jmp eax ; wpe_pro.0044E076 //OEP入口 vc++的,脱壳+修复(全部正常),可以运行回帖怎么+附件(请教) 2008-3-28 11:31 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 7 楼脱好的在这里,文件在我瑞星上是报毒的，直接被删除 http://www.namipan.com/d/WpePro1.0c.rar/faa4778fa3318c23e4ab548e18afe8617402c922308d0900 2008-3-28 11:34 0
pack三九雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 80 粉丝 0 关注私信	pack三九 8 楼 00401000 > B8 94B84700 mov eax, 0047B894 在这一句下硬件执行断点，F9运行，壳就解压了吧 2008-3-28 14:07 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 9 楼 00380B20 E8 47060000 call 0038116C 到这里才解压 2008-3-28 17:43 0
pack三九雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 80 粉丝 0 关注私信	pack三九 10 楼 0047B956 - FFE0 jmp eax ; DUTool.00433EED 跟了一下，呵呵！ 2008-3-28 18:30 0
frozenrain 雪币： 107 活跃值： (1693) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 11 楼 2次ESP定律就搞定了 2008-3-28 19:38 0
scrappy 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 9 回帖 39 粉丝 0 关注私信	scrappy 12 楼我还是没搞定`` 能不能再详细点呀！ 2008-3-29 06:17 0
scrappy 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 9 回帖 39 粉丝 0 关注私信	scrappy 13 楼继续是给新兵的看的。建议说的仔细点比如按执行什么！下断点按F几到哪再按F几执行什么！到哪算脱完壳了。你这样不是和外面的一样嘛！看了等于没看！ 2008-3-29 06:30 0
scrappy 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 9 回帖 39 粉丝 0 关注私信	scrappy 14 楼 Ctrl+G 0047B894 F2下断,Shift+F9 取消断点这是啥意思？在0047B894这里按F2 然后再按SHIFT+F9吗？下了又取消？有啥意义啊？什么都不做吗？ 2008-3-29 06:32 0
scrappy 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 9 回帖 39 粉丝 0 关注私信	scrappy 15 楼 bp VirtualAlloc F9,取消断点，Alt+F9返回这个bp VirtualAlloc 在哪呀？根本没有呀？没找到呀 2008-3-29 06:33 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 16 楼自己看吧: http://www.namipan.com/d/UNDUTool.swf/2888ffa6203413e64dc93e481f36bde6e52604c378c74a00 2008-3-29 09:30 0
ultralqxq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 17 粉丝 0 关注私信	ultralqxq 17 楼谢谢这位大大，感激得泪流不止！！！真的很感谢你的帮助，我有空也学得脱一下~~~学习学习！！ PS：回帖中想添加附件：点击[进入高级模式]按钮，进入了高级回帖模式后。点下面的[管理附件]按钮。将你要上传的附件上传上来就可以了。 2008-3-30 04:34 0
mdc 雪币： 206 活跃值： (57) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mdc 18 楼感谢分享,我学起来了 2008-3-30 06:28 0
yunfeng 雪币： 269 活跃值： (51) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 489 粉丝 0 关注私信	yunfeng 1 19 楼这个壳还是比较简单的，压缩壳用ESP定律脱就好了 2008-3-30 07:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复