我下了几个版本的PEID,有时对同一个软件,查出来的壳就不相同的!!!!!!!! 直接用ESP定律
在命令行处“hr 0012FFC0”
然后一次shift+F9即可秒脱
OEP:00401000
不需要修复 谢谢楼主发布分享
学习之 00417000 >53 PUSH EBX
00417001 51 PUSH ECX
00417002 52 PUSH EDX
00417003 56 PUSH ESI
00417004 57 PUSH EDI
00417005 55 PUSH EBP
00417006 E8 00000000 CALL Ped.0041700B F8跟到这!!!Esp=0012FFC4
0041700B 5D POP EBP
0041700C 8BD5 MOV EDX,EBP
0041700E 81ED A2304000 SUB EBP,Ped.004030A2
00417014 2B95 91334000 SUB EDX,DWORD PTR SS:
0041701A 81EA 0B000000 SUB EDX,0B
00417020 8995 9A334000 MOV DWORD PTR SS:,EDX
00417026 80BD 99334000 0>CMP BYTE PTR SS:,0
0041702D 74 50 JE SHORT Ped.0041707F
0041702F E8 02010000 CALL Ped.00417136
00417034 8BFD MOV EDI,EBP
00417036 8D9D 9A334000 LEA EBX,DWORD PTR SS:
0041703C 8B1B MOV EBX,DWORD PTR DS:
0041703E 8D87 9E334000 LEA EAX,DWORD PTR DS:
00417044 8B00 MOV EAX,DWORD PTR DS:
00417046 03D8 ADD EBX,EAX
00417048 8D8F A2334000 LEA ECX,DWORD PTR DS:
0041704E 8B09 MOV ECX,DWORD PTR DS:
00417050 66:8B85 8F33400>MOV AX,WORD PTR SS:
之后用Esp定律
hr 0012FFC4
之后F9运行到:
0041708E 5F POP EDI 到了这F8单步 ; ntdll.7C930738
0041708F 5E POP ESI
00417090 5A POP EDX
00417091 59 POP ECX
00417092 5B POP EBX
00417093 FFE0 JMP EAX 过了着个山就是平地!
以下第一个就是oep!
00401000 E8 DB E8
00401001 85 DB 85
00401002 25 DB 25 ;CHAR '%'
00401003 00 DB 00
00401004 00 DB 00
00401005 6A DB 6A ;CHAR 'j'
00401006 00 DB 00
00401007 E8 DB E8
00401008 D6 DB D6
00401009 24 DB 24 ;CHAR '$'
0040100A 00 DB 00
0040100B 00 DB 00
0040100C A3 DB A3
0040100D 1C DB 1C
0040100E 65 DB 65 ;CHAR 'e'
之后完美脱壳即可!
不要相信自己的眼睛!!
有时候耳听也是虚的 眼睛看到的也是虚的!就是手干起来是真的
页:
1
[2]