-
-
[原创]脱个压缩壳hmimys-Packer V1.0
-
发表于:
2009-4-12 22:26
4444
-
[原创]脱个压缩壳hmimys-Packer V1.0
hmimys-Packer V1.0 -> hmimys * Sign.By.fly *
脱个压缩壳。
OD载入 代码是这样的
/*40F42C*/ CALL CrackMe_.0040F4EB
/*40F431*/ ADD EAX,DWORD PTR DS:[EAX]
/*40F433*/ ADD BYTE PTR DS:[EAX],AL
/*40F435*/ ADD AL,AH
/*40F437*/ ADD BYTE PTR DS:[EAX],AL
/*40F439*/ ADD BYTE PTR DS:[EAX],DL
/*40F43B*/ INC EAX
/*40F43C*/ ADD BYTE PTR DS:[EAX+39],AL
/*40F43F*/ ADD BYTE PTR DS:[EAX],AL
/*40F441*/ SCAS BYTE PTR ES:[EDI]
/*40F442*/ STD
/*40F443*/ INC EAX
bp LoadLibraryA
到这了
/*40F517*/ MOV EBP,EAX
/*40F519*/ LODS BYTE PTR DS:[ESI]
/*40F51A*/ TEST AL,AL
/*40F51C*/ JNZ SHORT CrackMe_.0040F519
/*40F51E*/ LODS BYTE PTR DS:[ESI]
/*40F51F*/ TEST AL,AL
/*40F521*/ JE SHORT CrackMe_.0040F50D
/*40F523*/ DEC ESI
/*40F524*/ LODS DWORD PTR DS:[ESI]
/*40F525*/ TEST EAX,80000000
/*40F52A*/ JNZ SHORT CrackMe_.0040F537
/*40F52C*/ SUB ESI,4
/*40F52F*/ PUSH ESI
/*40F530*/ PUSH EBP
/*40F531*/ CALL DWORD PTR DS:[EBX+4]
/*40F534*/ STOS DWORD PTR ES:[EDI]
/*40F535*/ JMP SHORT CrackMe_.0040F519
/*40F537*/ AND EAX,7FFFFFFF
感觉这里是个循环。
走两遍后发现,
直接f4到40F54B 再单步一下就到OEP了。
/*40F544*/ SUB EBX,44
/*40F547*/ MOV ESI,EBX
/*40F549*/ LODS DWORD PTR DS:[ESI]
/*40F54A*/ PUSH EAX
/*40F54B*/ RET
然后直接用OD插件脱壳就可以运行了。呵呵压缩壳就是好欺负。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
