看雪论坛出现新的压缩壳,hmimys-Packer.exe
先用它加个记事本脱一下看看:101ADF0 >E8 BA000000 call NOTEPAD.0101AEAF-------载入就来到这个Call.在这里按F7跟进
0101ADF5 0300 add eax,dword ptr ds:
0101ADF7 0000 add byte ptr ds:,al
0101ADF9 0030 add byte ptr ds:,dh
0101ADFB 0100 add dword ptr ds:,eax
0101ADFD 0010 add byte ptr ds:,dl
0101ADFF 0001 add byte ptr ds:,al
跟进来到这里:
0101AEAF 5E pop esi ; NOTEPAD.0101ADF5
0101AEB0 83C6 64 add esi,64
0101AEB3 AD lods dword ptr ds:
0101AEB4 50 push eax
0101AEB5 AD lods dword ptr ds:
……
0101AED2 85C0 test eax,eax
0101AED4 74 32 je short NOTEPAD.0101AF08------这一跳没有实现,Enter跟随
0101AED6 8BF8 mov edi,eax
0101AF08 83EB 44 sub ebx,44---------来到这里,F4运行到这里
0101AF0B 8BF3 mov esi,ebx
0101AF0D AD lods dword ptr ds:
0101AF0E 50 push eax----------push OEP
0101AF0F C3 retn
F8,
retn就来到:
0100739D 6A 70 push 70----------OEP
0100739F 68 98180001 push NOTEPAD.01001898
010073A4 E8 BF010000 call NOTEPAD.01007568
010073A9 33DB xor ebx,ebx
010073AB 53 push ebx
010073AC 8B3D CC100001 mov edi,dword ptr ds:[1001>; kernel32.GetModuleHandleA
OD脱壳插件脱壳,修复输入表,就OK了。
然后脱它的主程序,做个动画,发到视频区吧,也算是完成PYG的作业吧。
附件是用默认状态加壳的记事本。65KB----->48KB 结合动画来看最好,支持兄弟! 认真学习!又是一个新壳~! :victory:
页:
[1]