PECompact 2脱壳

enjon

菜鸟可看高手莫看:lol:

OD 载入停在这里

OD忽略所有异常
00401000 >  B8 0CD25700     mov eax,用户上传.0057D20C                    ; OD 设置忽略所有异常
00401005    50              push eax                                 ; BP VirtualFree 下断 Shift+F9
00401006    64:FF35 0000000>push dword ptr fs:[0]
0040100D    64:8925 0000000>mov dword ptr fs:[0],esp

BP VirtualFree下断

7C809B74 >  8BFF            mov edi,edi 断在这里                      :取消,然后打开内存镜相
7C809B76    55              push ebp

Code段下断 shift+F9:
断在这里:
00A71005    F3:AB           rep stos dword ptr es:[edi]
00A71007    03CA            add ecx,edx
00A71009    83E1 03         and ecx,3

00A7101F    5E              pop esi
00A71020    5F              pop edi
00A71021    5B              pop ebx
00A71022    C9              leave
00A71023    C2 0400         retn 4                                    这里F2 F9 然后F8

00A70B04    8D8D C81C0010   lea ecx,dword ptr ss:[ebp+10001CC8]       这里一直F8
00A70B0A    85C0            test eax,eax
00A70B0C    0F85 94000000   jnz 00A70BA6
00A70B12    56              push esi
00A70B13    E8 32030000     call 00A70E4A
00A70B18    56              push esi
00A70B19    E8 47020000     call 00A70D65


0057D2C6    8BC6            mov eax,esi                             这里了,看到跳到OEP的
0057D2C8    5A              pop edx
0057D2C9    5E              pop esi
0057D2CA    5F              pop edi
0057D2CB    59              pop ecx
0057D2CC    5B              pop ebx
0057D2CD    5D              pop ebp                                  ; 0012FFF0
0057D2CE    FFE0            jmp eax                                  ; 跳到OEP