- UID
- 14195
注册时间2006-5-26
阅读权限20
最后登录1970-1-1
以武会友
 
TA的每日心情 | 开心
2024-10-8 02:05 |
|---|
签到天数: 1 天 [LV.1]初来乍到
|
【破文标题】PECompact 2.x -> Jeremy Collake脱壳
【破文作者】30903861(不同感觉的我)
【破解平台】WinXp
【软件名称】PDF-to-Word Demo
【破解工具】PEID0.94、OD
【破解目的】学习脱壳。
【软件介绍】是PDF转换WORD文件的工具
【脱壳过程】用PEID0.94查壳,加的是PECompact 2.x -> Jeremy Collake
OD载入
入口地址:
00401000 > B8 E41A4B00 MOV EAX,pdf2word.004B1AE4
00401005 50 PUSH EAX
00401006 64:FF35 0000000>PUSH DWORD PTR FS:[0]
0040100D 64:8925 0000000>MOV DWORD PTR FS:[0],ESP
00401014 33C0 XOR EAX,EAX
00401016 8908 MOV DWORD PTR DS:[EAX],ECX
00401018 50 PUSH EAX -------------到这跳到7C92EAF0
00401019 45 INC EBP
0040101A 43 INC EBX
跳到这继续F8
7C92EAF0 8B1C24 MOV EBX,DWORD PTR SS:[ESP]
7C92EAF3 51 PUSH ECX
7C92EAF4 53 PUSH EBX
7C92EAF5 E8 C78C0200 CALL ntdll.7C9577C1
7C92EAFA 0AC0 OR AL,AL
7C92EAFC 74 0C JE SHORT ntdll.7C92EB0A
7C92EAFE 5B POP EBX
7C92EAFF 59 POP ECX
7C92EB00 6A 00 PUSH 0
7C92EB02 51 PUSH ECX
7C92EB03 E8 11EBFFFF CALL ntdll.ZwContinue ------这用F7进入
7C92EB08 EB 0B JMP SHORT ntdll.7C92EB15 ------用F8到这后无法继续,只能在
上步进入。
进入后到这继续F8步过:
7C92D619 > B8 20000000 MOV EAX,20
7C92D61E BA 0003FE7F MOV EDX,7FFE0300
7C92D623 FF12 CALL DWORD PTR DS:[EDX] ---又是个CALLF8步过就无法运行继续F7进入
7C92D625 C2 0800 RETN 8
进入后来到这:
7C92EB8B > 8BD4 MOV EDX,ESP
7C92EB8D 0F34 SYSENTER
7C92EB8F 90 NOP
7C92EB90 90 NOP
7C92EB91 90 NOP
7C92EB92 90 NOP
7C92EB93 90 NOP
7C92EB94 > C3 RETN
一路F8来到这:
004B1BB1 - FFE0 JMP EAX ; pdf2word.00458F56 ------------F8
F8到这步就应该是跳到出口,
00458F56 6A 60 PUSH 60
脱壳.
查壳。Microsoft Visual C++ 7.0写的。
能正常运行。脱壳成功。
软件下载地址http://www.onlinedown.net/soft/31482.htm
改天给汉化了它。
[ 本帖最后由 30903861 于 2006-5-30 21:44 编辑 ] |
|
IP卡
发表于 2006-5-30 20:06:23
提升卡
置顶卡
变色卡
千斤顶
显身卡
楼主
发表于 2006-6-9 12:03:39
