手动脱PeCompact 2.20壳实战-吾爱破解培训第一课选修作业四

作者:Fly2015

PeCompact壳又是一个没有听说过的壳,需要脱壳的程序是吾爱破解培训的第一课的选修作业四。最近对脱壳有点上瘾了,当然也遭受了脱壳受挫的无奈,但是比较幸运还是把这个壳给搞了。

对加壳程序进行查壳。

工具DIE显示程序加的是PeCompact壳,并且原来没加壳的程序使用Microsoft Visual C/C++(2008)编写的,这一点对于查找原程序的真实OEP非常有帮助。

OD载入加壳的程序进行分析,加壳程序的入口点的汇编代码。

F8走了几步,坑啊,写壳的作者在代码中设置了异常,例如上图中标识的指令就会导致F8单步的时候触发向地址0赋值的异常,即使将这两条指令Nop掉,后面的指令中F8单步跟踪也会触发异常。

要对这个加壳程序进行脱壳,就必须规避触发指令中异常的问题。是不是不能处理呢?还是有办法规避异常问题的,还好加壳的作者比较善良。

既然F8单步的方法不能处理,那就想另外的办法对加壳程序进行脱壳。Ctrl+F2再次载入该加壳程序进行调试分析,并在函数VirtualProtectA和VirtualProtectExA上设置断点(直接使用OD提供的API设置断点插件在API函数的上设置断点),如图。

F9运行4次,此时OD中的程序的状态如图。坑啊,这个壳的IAT表在不经意中就被暴漏了,IAT表的起始地址VA为432000。

Alt+F9让程序从系统临空回到用户程序的临空,停在用户程序的指令代码中如图。

Ctrl+F9执行完所在的函数到Retn指令处,F8单步回到上一层的调用方函数中如图。

Ctrl+F9再次执行完所在的函数到Retn指令处,F8单步回到上一层的调用方函数中如图。

离脱壳已经很近了,直觉告诉地址00455D8E  jmp eax中EAX保存的值就是原程序真实OEP的地址。

在地址00455D8E处F2断点,F4/F9运行到此处,得到EAX=0041DDAC即为原程序真实的OEP的VA地址。

F7单步跟进到地址0041DDAC处,选中部分内存数据,Ctrl+A分析内存数据,终于见到了光明。

OK,原程序的OEP找到了,使用Load PE和RECImport 工具或者Scylla工具进行程序的完美脱壳,IAT表的修复也比较顺利。

运行一下脱壳后的程序,证明脱壳成功。

手动脱PeCompact 2.20壳的文档分析和脱壳后程序的下载地址:http://download.csdn.net/detail/qq1084283172/8900459

版权声明:本文为博主原创文章,未经博主允许不得转载。

时间: 2024-11-21 03:00:31

手动脱PeCompact 2.20壳实战-吾爱破解培训第一课选修作业四的相关文章

手动脱KBys Packer(0.28)壳实战--吾爱破解培训第一课选修作业五

作者:Fly2015 吾爱破解培训第一课选修作业第5个练习程序,在公司的时候用郁金香OD调试该加壳程序的时候出了点问题,但是回家用吾爱破解版的OD一调试,浑身精神爽,啥问题也没有. 首先使用查壳工具对加壳的程序进行查壳操作. OD载入需要脱壳的程序进行动态调试和分析,加壳程序入口点反汇编快照. F8单步跟踪程序几步,发现了比较熟悉的PUSHAD指令,又可以轻松的使用ESP定律进行程序的脱壳了. F8单步到指令PUSHAD的下一条指令,ESP寄存器右键设置HW Break硬件写入断点,F9畅快的运

手动脱WinUpack 壳实战--吾爱破解培训第一课选修作业六

作者:Fly2015 吾爱破解培训第一课选修作业第6个练习示例程序.不得不重复那句话,没见过这种壳,该壳是压缩壳的一种,相对于压缩壳,加密壳的难度要大一些,特别是IAT表的修复问题上. 首先分别使用DIE和Exeinfo PE对该加壳程序进行查壳的处理. OD载入加WinUpack 壳的程序进行动态调试分析,加壳程序入口点反汇编快照. 想都不用想,看到PUSHAD直接ESP定律脱壳F8单步一步,ESP寄存器右键设置硬件写入断点.F9运行程序,程序自然的断在设置的硬件断点处,如图. 有点惊呆了,硬

手动脱RLPack壳实战--吾爱破解培训第一课选修作业七

作者:Fly2015 吾爱破解论坛培训第一课选修作业练习的第7题.这个壳没听说过,但是脱起来比较简单,根据ESP定律即可直达光明,Dump出原来的程序. 老规矩,首先对需要脱壳的程序进行查壳处理. 使用DIE查壳的结果,程序加的是RLPack壳并且原程序是用微软编译器编译的. OD载入加壳程序进行调试分析,入口点代码反汇编快照. 看到PUSHAD指令想都不要想,直接ESP定律脱壳.F8单走一步在ESP寄存器上设置硬件写入断点,然后F9运行程序,程序自然断在刚才设置的硬件断点处. 显然JMP指令的

手动脱FSG壳实战--吾爱破解培训第一课作业3

作者:Fly2015 对于FSG壳,之前没有接触过是第一次接触,这次拿来脱壳的程序仍然是吾爱破解论坛破解培训的作业3的程序.对于这个壳折腾了一会儿,后来还是被搞定了. 1.查壳 首先对该程序(吾爱破解培训第一课作业三.exe)进行查壳: 很遗憾,这次DIE也不行了,不过没事. 2.脱壳 OD载入该加壳的程序进行分析,下面是入口点的汇编代码: 起初对于该种加壳程序也是比较陌生,但是由于OD使用的还算熟悉,以及结合该加壳程序获取函数的API调用地址的特点,很快发现了该程序的关键点汇编: 于是在地址0

手动脱UPX 壳实战--吾爱破解培训第一课作业1

作者:Fly2015 Windows平台的加壳软件还是比较多的,因此有很多人对于PC软件的脱壳乐此不彼,本人菜鸟一枚,也学习一下PC的脱壳.要对软件进行脱壳,首先第一步就是 查壳,然后才是 脱壳. 推荐比较好的查壳软件: PE Detective .Exeinfo PE.DIE工具. 需要脱壳的程序是吾爱破解论坛的windows逆向破解培训http://www.52pojie.cn/thread-378612-1-1.html第一课的作业题1. 1.对该程序(吾爱破解培训第一课作业一.exe)进

手动脱NsPacK壳实战--吾爱破解培训第一课作业2

作者:Fly2015 这里脱壳的程序是吾爱破解培训的作业2,相较于作业1稍微要强一点,但是只要掌握了脱壳的ESP定律,脱这个Nspack壳并不难,不过还是蛮有意思的. 1.使用查壳软件对加壳的程序进行查壳. 使用PE Detective查壳的结果: 使用DIE查壳的结果: 2.OD载入程序进行脱壳操作 OD载入以后,被加壳程序的入口点的汇编代码,如图.很显然,加壳程序载入OD以后,发现有3个pushad指令,因此在进行程序脱壳的时候,根据ESP定律需要下3个硬件断点. 根据该加壳程序载入OD的汇

吾爱破解第一次培训--破解基础知识之介绍常见工具和壳的特征

L程序的运行日志 e是加载的线程 m内存 T线程 w窗口 h句柄信息 c反汇编窗口 p修改后的信息 易语言的特征代码 1: 004107E2 FC cld 2: 004107E3 DBE3 finit 3: 004107E5 E8 E2FFFFFF call 吾爱破解.004107CC 4: 004107EA 68 D7074100 push 吾爱破解.004107D7 5: 004107EF B8 03000000 mov eax,0x3 6: 004107F4 E8 41000000 cal

吾爱破解脱壳练习第五期------upx壳

内存镜像法: 载入OD: 内存镜像法在资源节下断点: 运行,停在这里: 再下断点: 运行,停在这里: 往下跟踪,凡是向上跳的就F4跳过. 注意这里,如果F4跳过jmp到call的位置就会跑飞,所以我们F4跳到红框的位置: 直到这里,有一个大跳转: 就跳转到了OEP:

吾爱破解论坛纪念壁纸(怀念)

忆峥嵘岁月,风华正茂!