看雪学院新压缩壳_hmimys-Packer.exe主程序脱壳
压缩壳,本不应该 发,但是新规定,成员必须每月发布作品,就将就吧……这是个视频。
在脱壳文集区有个脱记事本的txt文档。
看雪出现新的压缩壳,我就用它来完成作业吧。
因为已经脱过用它加壳的记事本了,所以就轻车熟路了。
不过在修复输入表时,这里有点问题。所以就做个视频。
OD载入
004B02C0 >E8 BA000000 call hmimys-P.004B037F-----F7跟进
004B02C5 0300 add eax,dword ptr ds:
004B02C7 0000 add byte ptr ds:,al
004B02C9 00E0 add al,ah
Mouse往下拖,看到第一个je 我已经知道了,这个je不能实现,而且是个远跳
Enter吧
然后F4运行到这个地方
再F8
再F8
00401000 /EB 10 jmp short hmimys-P.00401012---------OEP
00401002 |66:623A bound di,dword ptr ds:
00401005 |43 inc ebx
00401006 |2B2B sub ebp,dword ptr ds:
00401008 |48 dec eax
脱吧
为了安全,就用LordPE脱吧
修复输入表
看这个地方:000001A4
这个Size太小
因为我跟踪了它,发现它实在是太小,还有好多函数……
但是00099298这里是正确的,不信你看:
看到了吧,好多呀,
好了,为了不多事,还是关了OD,启动原程序,来修复输入表吧。
我就来个简单的,也不想算数了,填1000吧
因为填得太大,所以出现许多无效指针
Cut them
修复
OK
Borland C++ 1999
339171218
wofan
bye
1.4Mb 的附件也太大?靠!!附件发到我的U盘中:http://xiongfei.ys168.com 支持兄弟,为什么不分卷上传呢? 原帖由 haiyun 于 2006-8-28 23:30 发表
支持兄弟,为什么不分卷上传呢?
还可以用www.keepmyfile.com啊。 支持一下! 呵呵 终于看到高手们出手 感动ING~~ 真受不了 杂见一个人一出手就这么强呢?PYG一个 卧虎藏龙的地方 . 学习,收藏!!支持!!!! 刚刚试了下,来到OEP,下面
00401000 /EB 10 jmp short hmimys-P.00401012
直接用用OD dump就可以,不用修复都能直接运行,哈哈
;P
[ 本帖最后由 Rason 于 2006-9-3 23:08 编辑 ]
页:
[1]