脱PECompact 2.x -> Jeremy Collake壳
【破文标题】PECompact 2.x -> Jeremy Collake脱壳【破文作者】30903861(不同感觉的我)
【破解平台】WinXp
【软件名称】PDF-to-Word Demo
【破解工具】PEID0.94、OD
【破解目的】学习脱壳。
【软件介绍】是PDF转换WORD文件的工具
【脱壳过程】用PEID0.94查壳,加的是PECompact 2.x -> Jeremy Collake
OD载入
入口地址:
00401000 >B8 E41A4B00 MOV EAX,pdf2word.004B1AE4
00401005 50 PUSH EAX
00401006 64:FF35 0000000>PUSH DWORD PTR FS:
0040100D 64:8925 0000000>MOV DWORD PTR FS:,ESP
00401014 33C0 XOR EAX,EAX
00401016 8908 MOV DWORD PTR DS:,ECX
00401018 50 PUSH EAX -------------到这跳到7C92EAF0
00401019 45 INC EBP
0040101A 43 INC EBX
跳到这继续F8
7C92EAF0 8B1C24 MOV EBX,DWORD PTR SS:
7C92EAF3 51 PUSH ECX
7C92EAF4 53 PUSH EBX
7C92EAF5 E8 C78C0200 CALL ntdll.7C9577C1
7C92EAFA 0AC0 OR AL,AL
7C92EAFC 74 0C JE SHORT ntdll.7C92EB0A
7C92EAFE 5B POP EBX
7C92EAFF 59 POP ECX
7C92EB00 6A 00 PUSH 0
7C92EB02 51 PUSH ECX
7C92EB03 E8 11EBFFFF CALL ntdll.ZwContinue ------这用F7进入
7C92EB08 EB 0B JMP SHORT ntdll.7C92EB15 ------用F8到这后无法继续,只能在
上步进入。
进入后到这继续F8步过:
7C92D619 >B8 20000000 MOV EAX,20
7C92D61E BA 0003FE7F MOV EDX,7FFE0300
7C92D623 FF12 CALL DWORD PTR DS: ---又是个CALLF8步过就无法运行继续F7进入
7C92D625 C2 0800 RETN 8
进入后来到这:
7C92EB8B >8BD4 MOV EDX,ESP
7C92EB8D 0F34 SYSENTER
7C92EB8F 90 NOP
7C92EB90 90 NOP
7C92EB91 90 NOP
7C92EB92 90 NOP
7C92EB93 90 NOP
7C92EB94 >C3 RETN
一路F8来到这:
004B1BB1- FFE0 JMP EAX ; pdf2word.00458F56 ------------F8
F8到这步就应该是跳到出口,
00458F56 6A 60 PUSH 60
脱壳.
查壳。Microsoft Visual C++ 7.0写的。
能正常运行。脱壳成功。
软件下载地址http://www.onlinedown.net/soft/31482.htm
改天给汉化了它。
[ 本帖最后由 30903861 于 2006-5-30 21:44 编辑 ] 这个壳也算是弱壳,如今我已经汉化完了放在我的网络U盘里http://30903861.5upan.com/,可惜发现只是个演示版的,就当练手了,呵呵 好文章!猫在学习ASProtect 2.1x这个壳的修复。
[ 本帖最后由 野猫III 于 2006-6-9 12:07 编辑 ] 下下来练练 ASProtect 2.1x的壳算是最强的了,我遇到过很多,我问风飘学他叫我先放弃,叫我先练别的,还说过,国内很少人能脱.
其实我也想学,但是水平有限
页:
[1]