wzwgp 发表于 2006-4-19 22:11:28

菜鸟学习ESP定律脱PECompact 2.x壳

【脱壳文件】PGWARE SuperRam 5.4.10.2006
【下载地址】http://www.onlinedown.net/soft/2294.htm
【加壳方式】PECompact 2.x -> Jeremy Collake
【作者声明】:只是感兴趣,没有其他目的。错误之处敬请诸位前辈不吝赐教
【调试环境】:Winxp、OllyDBD、PEiD
【脱壳过程】:常在论坛学习,第一次脱PECompact 2.x,按照论坛诸位前辈的方法依样画葫芦。
【软件信息】:SuperRam能够让你方便的管理和修改你的计算机的注册表设置,能使你的计算机运行的更快速。你不会在看到象'内存溢出'这样的错误提示了,你可以手动设置管理内存释放空间的大小。

OD载入,有提示,选不继续分析。注意寄存器窗口ESP的值

00401000 >B8 F80A5900   MOV EAX,SuperRam.00590AF8        ; 停在此处
00401005    50            PUSH EAX
00401006    64:FF35 0000000>PUSH DWORD PTR FS:          ; F8到此
0040100D    64:8925 0000000>MOV DWORD PTR FS:,ESP        ; 下断 HR ESP
00401014    33C0            XOR EAX,EAX
00401016    8908            MOV DWORD PTR DS:,ECX
00401018    50            PUSH EAX
00401019    45            INC EBP
0040101A    43            INC EBX
0040101B    6F            OUTS DX,DWORD PTR ES:               ; I/O 命令
0040101C    6D            INS DWORD PTR ES:,DX                ; I/O 命令

在0040100D处下断 HR ESP,F9 来到下面:

00590B27    83C4 04         ADD ESP,4
00590B2A    55            PUSH EBP
00590B2B    53            PUSH EBX
00590B2C    51            PUSH ECX
00590B2D    57            PUSH EDI
00590B2E    56            PUSH ESI
00590B2F    52            PUSH EDX
00590B30    8D98 57120010   LEA EBX,DWORD PTR DS:
00590B36    8B53 18         MOV EDX,DWORD PTR DS:
       -------------省略------------------
00590B9E    8BF0            MOV ESI,EAX
00590BA0    8B4B 14         MOV ECX,DWORD PTR DS:
00590BA3    5A            POP EDX
00590BA4    EB 0C         JMP SHORT SuperRam.00590BB2
00590BA6    03CA            ADD ECX,EDX
00590BA8    68 00800000   PUSH 8000
00590BAD    6A 00         PUSH 0
00590BAF    57            PUSH EDI
00590BB0    FF11            CALL NEAR DWORD PTR DS:
00590BB2    8BC6            MOV EAX,ESI
00590BB4    5A            POP EDX
00590BB5    5E            POP ESI
00590BB6    5F            POP EDI
00590BB7    59            POP ECX
00590BB8    5B            POP EBX
00590BB9    5D            POP EBP
00590BBA    FFE0            JMP NEAR EAX

 中间没有回跳、循环,一路F8到此。JMP到下面:

0048DFB8    55            PUSH EBP                 ; OEP
0048DFB9    8BEC            MOV EBP,ESP
0048DFBB    B9 37000000   MOV ECX,37
0048DFC0    6A 00         PUSH 0
0048DFC2    6A 00         PUSH 0
0048DFC4    49            DEC ECX
0048DFC5^ 75 F9         JNZ SHORT SuperRam.0048DFC0

在0048DFB8处,OllyDump脱壳(方式1),保存后可以运行。
PEiD再查:Borland Delphi 6.0 - 7.0,菜鸟底一次学习脱PECompact 2.x的壳,
鼓励一下自己。

Nisy 发表于 2006-4-20 12:36:45

软件我也下回来了 试一下~

yunfeng 发表于 2006-4-21 12:24:57

压缩壳还是比较好脱的.

windycandy 发表于 2006-4-21 15:26:44

下 hr esp后
F9几下后,你会惊奇的发现,会中断在
00590BB9    5D            POP EBP-----------这里
00590BBA    FFE0            JMP NEAR EAX
然后F8两下就道OEP了

野猫III 发表于 2006-4-21 15:30:10

Cool呀,真的谢谢兄弟啦!

脱壳是咱的弱点。。。

5ipyg 发表于 2006-4-26 18:54:22

谢谢 支持

8957316 发表于 2006-5-11 21:43:33

好方法,不过对它的原理还是没真正高懂

棒棒糖 发表于 2006-8-16 22:45:22

:lol:脱文不适合初学者看,/:D
FTP动画都把这些小壳壳讲烂了,ASP,穿山甲学习一星期无进展;)郁闷中

网游难民 发表于 2006-8-17 04:32:19

原帖由 棒棒糖 于 2006-8-16 22:45 发表
:lol:脱文不适合初学者看,/:D
FTP动画都把这些小壳壳讲烂了,ASP,穿山甲学习一星期无进展;)郁闷中


你说的这两个强壳偶都没有敢碰过/:D

棒棒糖 发表于 2006-8-17 05:18:57

/:?我怎么下下来,方式一不能运行:lol:是不是新版本又加了自校验了,我靠
页: [1] 2
查看完整版本: 菜鸟学习ESP定律脱PECompact 2.x壳