脱 PEncrypt 3.1 Final 小方法

yyjpcx

软件名称:Imperator FLA_1.6.9.8  (PEncrypt 3.1 Final -> junkcode加的壳)

工具:    PEid,OllyDbg,ImportREC

简要的说明下,此软件(SWF转换成FLA源码）


分析过程:
0050A082 > $  B8 00405300   mov     eax, 00534000                            ;程序加载后停在这里
0050A087   .  FFD0          call    eax                                                         ;此call进入
0050A089   .  CC            int3
0050A08A   .  51            push    ecx
0050A08B   .  0068 10       add     [eax+10], ch
0050A08E   .  A4            movs    byte ptr es:[edi], byte ptr [esi>
第一次脱,也不知道是什么级别的壳

00534000   /E9 25010000     jmp     0053412A
00534005   |57              push    edi
00534006   |65:6E           outs    dx, byte ptr es:[edi]
00534008   |64:696E 67 0050>imul    ebp, fs:[esi+67], 6F685000
00534010   |74 6F           je      short 00534081
00534012   |73 68           jnb     short 0053407C



看到了?其他的不管 这个你会?



0050A082 >/$  55            push    ebp         OEP         Dump  
0050A083  |.  8BEC          mov     ebp, esp
0050A085  |.  6A FF         push    -1
用ImportREC修复一下就可以了

eszwaq123

这么简单  不会吧 ！~~  谢谢分享

windycandy

我已经学到了,好!~~~~~~~~~~~~~~

忧伤的路西法

....不能下载,权限不够

zaqcde

下不了！郁闷啊！

mojingtai

阅读权限: 100 只能望梅止渴了

小生我怕怕

这个壳就是一载入后,F8一步,然后进CALL就直接F8单步就到OEP啦!但是好象不能用OD插件脱壳,要用Lorepe来脱壳,修复下就可以啦!

随风的心

阅读权限: 100 只能望梅止渴了

wqhlgr

不能下。。。