yyjpcx 发表于 2006-1-20 12:37:01

脱 PEncrypt 3.1 Final 小方法

软件名称:Imperator FLA_1.6.9.8(PEncrypt 3.1 Final -> junkcode加的壳)

工具:    PEid,OllyDbg,ImportREC

简要的说明下,此软件(SWF转换成FLA源码)


分析过程:
0050A082 > $B8 00405300   mov   eax, 00534000                            ;程序加载后停在这里
0050A087   .FFD0          call    eax                                                         ;此call进入
0050A089   .CC            int3
0050A08A   .51            push    ecx
0050A08B   .0068 10       add   , ch
0050A08E   .A4            movs    byte ptr es:, byte ptr [esi>
第一次脱,也不知道是什么级别的壳

00534000   /E9 25010000   jmp   0053412A
00534005   |57            push    edi
00534006   |65:6E         outs    dx, byte ptr es:
00534008   |64:696E 67 0050>imul    ebp, fs:, 6F685000
00534010   |74 6F         je      short 00534081
00534012   |73 68         jnb   short 0053407C



看到了?其他的不管 这个你会?

http://192.168.1.100/attachments/tt_VAZTF81m7qZ3.jpg

0050A082 >/$55            push    ebp         OEP         Dump
0050A083|.8BEC          mov   ebp, esp
0050A085|.6A FF         push    -1
用ImportREC修复一下就可以了

eszwaq123 发表于 2006-2-1 07:04:58

这么简单不会吧 !~~谢谢分享

windycandy 发表于 2006-2-17 18:32:52

我已经学到了,好!~~~~~~~~~~~~~~

忧伤的路西法 发表于 2006-4-1 20:56:01

....不能下载,权限不够

zaqcde 发表于 2008-7-13 10:10:52

下不了!郁闷啊!

mojingtai 发表于 2008-7-21 14:00:14

阅读权限: 100 只能望梅止渴了

小生我怕怕 发表于 2008-7-22 02:26:49

这个壳就是一载入后,F8一步,然后进CALL就直接F8单步就到OEP啦!但是好象不能用OD插件脱壳,要用Lorepe来脱壳,修复下就可以啦!

随风的心 发表于 2008-8-24 09:15:47

阅读权限: 100 只能望梅止渴了

wqhlgr 发表于 2009-1-26 07:33:53

不能下。。。
页: [1]
查看完整版本: 脱 PEncrypt 3.1 Final 小方法