hi,楼主
出来江湖,身无分文,可否先发我一份。待日发达之时定当回报。
我的江湖地址:marvin.gu16@gmail.com (当中有一点奥!)
再次拜谢!
WPA?好!好!!好!!!咱也要一份szxhcfe@163.com
给我,我爱你 a361049686@qq.com
发个分享下,谢谢了。 EMAIL: 996853596@QQ.COM
不知道这么后了还能不能收到,希望楼主好事做到底,谢谢楼主
glorry@126.com
我也要个 newsun_zf@163.com
无聊。你就放在这里让大家下吧!
给我的一个,谢谢了。
sssyzy@yahoo.com.cn
这么厉害的任务发个学习下
谢谢。VEGAN0316@YAHOO.COM.CN
由于时间有限,我在这里就给大家演示两种方法吧,当然还有其他的方法的!
首先查壳,PECompact 1.68 - 1.84 -> Jeremy Collake
OD载入
方法一:单步法(忽略所有异常)
大家先看一下我的操作,先做一个错误的示范。。。。
好的,继续看操作,这次是对的~~呵呵~
0040C000 P> /EB 06 jmp short PECompac.0040C008//停在这,继续F8
0040C002 |68 CC100000 push 10CC
0040C007 |C3 retn
0040C008 \9C pushfd
0040C009 60 pushad
0040C00A E8 02000000 call PECompac.0040C011 //F7过
。。。。。。。。。。
0040D251 /0F84 9B000000 je PECompac.0040D2F2 //enter
。。。。。。。。。。
呵呵~2无法运行,那我们就修复吧~看操作,,,,,可以啦~~~接下来我们有必要用LD做优化~减肥~OK~~~
方法二:ESP定律(忽略所有异常)
0040C000 P> /EB 06 jmp short PECompac.0040C008//停在这,继续F8
0040C002 |68 CC100000 push 10CC
0040C007 |C3 retn
0040C008 \9C pushfd
0040C009 60 pushad //ESP,突现,0012ffc0
0040C00A E8 02000000 call PECompac.0040C011
下命令行 hr 0012ffc0 回车,F9运行
0040D550 50 push eax //到这里了,继续F8(记得取消硬件断点^_^)
0040D551 68 CC104000 push PECompac.004010CC
0040D556 C2 0400 retn 4 //返回来到OEP
。。。。。。。。。。。。。。。
004010CC 55 push ebp 在这里dump就可以了
004010CD 8BEC mov ebp,esp
004010CF 83EC 44 sub esp,44
很容易就到了OEP了~~
方法三:内存镜像法
大家可以做为课后作业去完成
还有就是应该可以用模拟跟踪法的~大家也可以试一下~~现在不早了~呵呵~
这个壳好脱的。。。可是我就是不会算法。。lz牛啊。。
lz我qq3@069%07241 旺旺是zjjysjj 加我聊聊。。哈哈。。pediy喔。。。