菜鸟学习ESP定律脱PECompact 2.x壳

wzwgp

【脱壳文件】PGWARE SuperRam 5.4.10.2006
【下载地址】http://www.onlinedown.net/soft/2294.htm
【加壳方式】PECompact 2.x -> Jeremy Collake
【作者声明】：只是感兴趣，没有其他目的。错误之处敬请诸位前辈不吝赐教
【调试环境】：Winxp、OllyDBD、PEiD
【脱壳过程】：常在论坛学习，第一次脱PECompact 2.x，按照论坛诸位前辈的方法依样画葫芦。
【软件信息】：SuperRam能够让你方便的管理和修改你的计算机的注册表设置，能使你的计算机运行的更快速。你不会在看到象'内存溢出'这样的错误提示了，你可以手动设置管理内存释放空间的大小。

OD载入，有提示，选不继续分析。注意寄存器窗口ESP的值

00401000 >  B8 F80A5900     MOV EAX,SuperRam.00590AF8　　　　　　　 ; 停在此处
00401005    50              PUSH EAX
00401006    64:FF35 0000000>PUSH DWORD PTR FS:[0]　　　　　　　　　 ; F8到此
0040100D    64:8925 0000000>MOV DWORD PTR FS:[0],ESP　　　　　　　　; 下断 HR ESP
00401014    33C0            XOR EAX,EAX
00401016    8908            MOV DWORD PTR DS:[EAX],ECX
00401018    50              PUSH EAX
00401019    45              INC EBP
0040101A    43              INC EBX
0040101B    6F              OUTS DX,DWORD PTR ES:[EDI]               ; I/O 命令
0040101C    6D              INS DWORD PTR ES:[EDI],DX                ; I/O 命令

在0040100D处下断 HR ESP，F9 来到下面：

00590B27    83C4 04         ADD ESP,4
00590B2A    55              PUSH EBP
00590B2B    53              PUSH EBX
00590B2C    51              PUSH ECX
00590B2D    57              PUSH EDI
00590B2E    56              PUSH ESI
00590B2F    52              PUSH EDX
00590B30    8D98 57120010   LEA EBX,DWORD PTR DS:[EAX+10001257]
00590B36    8B53 18         MOV EDX,DWORD PTR DS:[EBX+18]
       -------------省略------------------
00590B9E    8BF0            MOV ESI,EAX
00590BA0    8B4B 14         MOV ECX,DWORD PTR DS:[EBX+14]
00590BA3    5A              POP EDX
00590BA4    EB 0C           JMP SHORT SuperRam.00590BB2
00590BA6    03CA            ADD ECX,EDX
00590BA8    68 00800000     PUSH 8000
00590BAD    6A 00           PUSH 0
00590BAF    57              PUSH EDI
00590BB0    FF11            CALL NEAR DWORD PTR DS:[ECX]
00590BB2    8BC6            MOV EAX,ESI
00590BB4    5A              POP EDX
00590BB5    5E              POP ESI
00590BB6    5F              POP EDI
00590BB7    59              POP ECX
00590BB8    5B              POP EBX
00590BB9    5D              POP EBP
00590BBA    FFE0            JMP NEAR EAX

　中间没有回跳、循环，一路F8到此。JMP到下面：

0048DFB8    55              PUSH EBP　　　　　　　　　　　　　　　　 ; OEP
0048DFB9    8BEC            MOV EBP,ESP
0048DFBB    B9 37000000     MOV ECX,37
0048DFC0    6A 00           PUSH 0
0048DFC2    6A 00           PUSH 0
0048DFC4    49              DEC ECX
0048DFC5  ^ 75 F9           JNZ SHORT SuperRam.0048DFC0

  在0048DFB8处，OllyDump脱壳（方式1），保存后可以运行。
PEiD再查：Borland Delphi 6.0 - 7.0，菜鸟底一次学习脱PECompact 2.x的壳，
鼓励一下自己。

Nisy

软件我也下回来了 试一下~

yunfeng

压缩壳还是比较好脱的.

windycandy

下 hr esp后
F9几下后,你会惊奇的发现,会中断在
00590BB9    5D              POP EBP-----------这里
00590BBA    FFE0            JMP NEAR EAX
然后F8两下就道OEP了

野猫III

Cool呀，真的谢谢兄弟啦！

脱壳是咱的弱点。。。

5ipyg

谢谢 支持

8957316

好方法，不过对它的原理还是没真正高懂

棒棒糖

:lol:脱文不适合初学者看，/:D
FTP动画都把这些小壳壳讲烂了，ASP，穿山甲学习一星期无进展;)郁闷中

网游难民

原帖由 棒棒糖 于 2006-8-16 22:45 发表
:lol:脱文不适合初学者看，/:D
FTP动画都把这些小壳壳讲烂了，ASP，穿山甲学习一星期无进展;)郁闷中

你说的这两个强壳偶都没有敢碰过/:D

棒棒糖

/:?我怎么下下来，方式一不能运行:lol:是不是新版本又加了自校验了，我靠