求助脱双层壳
PECompact 2.5 Retail的壳,用PeCompact OEP Finder脚本到伪OEP:0117C519 68 6D4FD27D push 7DD24F6D (是不是VMP?)
0117C51E E8 1D7B0000 call 01184040
0117C523 30E0 xor al, ah
0117C525 80B0 80C0A0C0 4>xor byte ptr , 40
0117C52C 8070 A0 0C xor byte ptr , 0C
0117C530 B8 C247DCC8 mov eax, C8DC47C2
0117C535 58 pop eax
0117C536 C6 ??? ; 未知命令
0117C537 F4 hlt
0117C538 6D ins dword ptr es:, dx
0117C539 F6 ??? ; 未知命令
0117C53A 4F dec edi
0117C53B 16 push ss
0117C53C EA CAF36882 E1D>jmp far D5E1:8268F3CA
0117C543 50 push eax
0117C544 80A2 C536270A 8>and byte ptr , 87
0117C54B FC cld
0117C54C F5 cmc
0117C54D 879A 99500560 xchg dword ptr , ebx
0117C553 B5 21 mov ch, 21
根据特征,查找OEP:(无需解码就可以找到OEP,不知道为什么?是不是不用解码就可以??)
00C8ECF4 55 push ebp
00C8ECF5 8BEC mov ebp, esp
00C8ECF7 83C4 F0 add esp, -10
00C8ECFA B8 ECCFC800 mov eax, 00C8CFEC
00C8ECFF E8 EC8F77FF call 00407CF0
00C8ED04 A1 38CDC800 mov eax, dword ptr
00C8ED09 E8 86E0FFFF call 00C8CD94
00C8ED0E E8 7D6477FF call 00405190
00C8ED13 90 nop
00C8ED14 0000 add byte ptr , al
00C8ED16 0000 add byte ptr , al
00C8ED18 0000 add byte ptr , al
00C8ED1A 0000 add byte ptr , al
00C8ED1C 0000 add byte ptr , al
00C8ED1E 0000 add byte ptr , al
00C8ED20 0000 add byte ptr , al
00C8ED22 0000 add byte ptr , al
00C8ED24 0000 add byte ptr , al
00C8ED26 0000 add byte ptr , al
00C8ED28 0000 add byte ptr , al
新建EIP,然后DUMP,修正入口地址,此后查壳为Borland Delphi 6.0 - 7.0
无壳,但是不能运行,提示初始化失败,请教高人,我应该如何操作?
页:
[1]