飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

查看: 1843|回复: 0

[求助] 求助脱双层壳

[复制链接]
  • TA的每日心情
    奋斗
    2022-4-5 21:02
  • 签到天数: 279 天

    [LV.8]以坛为家I

    发表于 2009-11-11 22:26:22 | 显示全部楼层 |阅读模式
    PECompact 2.5 Retail的壳,用PeCompact OEP Finder  脚本到伪OEP:

    0117C519    68 6D4FD27D     push    7DD24F6D        (是不是VMP?)
    0117C51E    E8 1D7B0000     call    01184040
    0117C523    30E0            xor     al, ah
    0117C525    80B0 80C0A0C0 4>xor     byte ptr [eax+C0A0C080], 40
    0117C52C    8070 A0 0C      xor     byte ptr [eax-60], 0C
    0117C530    B8 C247DCC8     mov     eax, C8DC47C2
    0117C535    58              pop     eax
    0117C536    C6              ???                                      ; 未知命令
    0117C537    F4              hlt
    0117C538    6D              ins     dword ptr es:[edi], dx
    0117C539    F6              ???                                      ; 未知命令
    0117C53A    4F              dec     edi
    0117C53B    16              push    ss
    0117C53C    EA CAF36882 E1D>jmp     far D5E1:8268F3CA
    0117C543    50              push    eax
    0117C544    80A2 C536270A 8>and     byte ptr [edx+A2736C5], 87
    0117C54B    FC              cld
    0117C54C    F5              cmc
    0117C54D    879A 99500560   xchg    dword ptr [edx+60055099], ebx
    0117C553    B5 21           mov     ch, 21


    根据特征,查找OEP:(无需解码就可以找到OEP,不知道为什么?是不是不用解码就可以??)


    00C8ECF4    55              push    ebp
    00C8ECF5    8BEC            mov     ebp, esp
    00C8ECF7    83C4 F0         add     esp, -10
    00C8ECFA    B8 ECCFC800     mov     eax, 00C8CFEC
    00C8ECFF    E8 EC8F77FF     call    00407CF0
    00C8ED04    A1 38CDC800     mov     eax, dword ptr [C8CD38]
    00C8ED09    E8 86E0FFFF     call    00C8CD94
    00C8ED0E    E8 7D6477FF     call    00405190
    00C8ED13    90              nop
    00C8ED14    0000            add     byte ptr [eax], al
    00C8ED16    0000            add     byte ptr [eax], al
    00C8ED18    0000            add     byte ptr [eax], al
    00C8ED1A    0000            add     byte ptr [eax], al
    00C8ED1C    0000            add     byte ptr [eax], al
    00C8ED1E    0000            add     byte ptr [eax], al
    00C8ED20    0000            add     byte ptr [eax], al
    00C8ED22    0000            add     byte ptr [eax], al
    00C8ED24    0000            add     byte ptr [eax], al
    00C8ED26    0000            add     byte ptr [eax], al
    00C8ED28    0000            add     byte ptr [eax], al


    新建EIP,然后DUMP,修正入口地址,此后查壳为Borland Delphi 6.0 - 7.0
    无壳,但是不能运行,提示初始化失败,请教高人,我应该如何操作?
    PYG19周年生日快乐!
    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    快速回复 返回顶部 返回列表