看雪论坛出现新的压缩壳，hmimys-Packer.exe

wofan

先用它加个记事本脱一下看看：

101ADF0 >  E8 BA000000     call NOTEPAD.0101AEAF-------载入就来到这个Call.在这里按F7跟进
0101ADF5    0300            add eax,dword ptr ds:[eax]
0101ADF7    0000            add byte ptr ds:[eax],al
0101ADF9    0030            add byte ptr ds:[eax],dh
0101ADFB    0100            add dword ptr ds:[eax],eax
0101ADFD    0010            add byte ptr ds:[eax],dl
0101ADFF    0001            add byte ptr ds:[ecx],al
跟进来到这里：
0101AEAF    5E              pop esi                    ; NOTEPAD.0101ADF5
0101AEB0    83C6 64         add esi,64
0101AEB3    AD              lods dword ptr ds:[esi]
0101AEB4    50              push eax
0101AEB5    AD              lods dword ptr ds:[esi]
……
0101AED2    85C0            test eax,eax
0101AED4    74 32           je short NOTEPAD.0101AF08－－－－－－这一跳没有实现，Enter跟随
0101AED6    8BF8            mov edi,eax

0101AF08    83EB 44         sub ebx,44－－－－－－－－－来到这里，F4运行到这里
0101AF0B    8BF3            mov esi,ebx
0101AF0D    AD              lods dword ptr ds:[esi]
0101AF0E    50              push eax－－－－－－－－－－push OEP
0101AF0F    C3              retn
F8，
retn就来到：

0100739D    6A 70           push 70－－－－－－－－－－OEP
0100739F    68 98180001     push NOTEPAD.01001898
010073A4    E8 BF010000     call NOTEPAD.01007568
010073A9    33DB            xor ebx,ebx
010073AB    53              push ebx
010073AC    8B3D CC100001   mov edi,dword ptr ds:[1001>; kernel32.GetModuleHandleA

OD脱壳插件脱壳，修复输入表，就OK了。


然后脱它的主程序，做个动画，发到视频区吧，也算是完成PYG的作业吧。
附件是用默认状态加壳的记事本。65KB----->48KB

haiyun

结合动画来看最好，支持兄弟！

hangyubin

认真学习！又是一个新壳～！

modi

:victory: