看雪学院新压缩壳_hmimys-Packer.exe主程序脱壳

wofan

压缩壳，本不应该 发，但是新规定，成员必须每月发布作品，就将就吧……
这是个视频。
在脱壳文集区有个脱记事本的txt文档。
看雪出现新的压缩壳，我就用它来完成作业吧。
因为已经脱过用它加壳的记事本了，所以就轻车熟路了。
不过在修复输入表时，这里有点问题。所以就做个视频。
OD载入
004B02C0 >  E8 BA000000     call hmimys-P.004B037F－－－－－F7跟进
004B02C5    0300            add eax,dword ptr ds:[eax]
004B02C7    0000            add byte ptr ds:[eax],al
004B02C9    00E0            add al,ah

Mouse往下拖，看到第一个je 我已经知道了，这个je不能实现，而且是个远跳
Enter吧
然后F4运行到这个地方
再F8
再F8

00401000   /EB 10           jmp short hmimys-P.00401012－－－－－－－－－OEP
00401002   |66:623A         bound di,dword ptr ds:[edx]
00401005   |43              inc ebx
00401006   |2B2B            sub ebp,dword ptr ds:[ebx]
00401008   |48              dec eax

脱吧
为了安全，就用LordPE脱吧
修复输入表

看这个地方：000001A4
这个Size太小
因为我跟踪了它，发现它实在是太小，还有好多函数……
但是00099298这里是正确的，不信你看：

看到了吧，好多呀，

好了，为了不多事，还是关了OD，启动原程序，来修复输入表吧。
我就来个简单的，也不想算数了，填1000吧
因为填得太大，所以出现许多无效指针
Cut them
修复
OK
Borland C++ 1999

339171218
wofan[OCN][PYG][DCG]
bye


1.4Mb 的附件也太大？靠！！附件发到我的U盘中：http://xiongfei.ys168.com

haiyun

支持兄弟，为什么不分卷上传呢？

weihang_6

原帖由 haiyun 于 2006-8-28 23:30 发表
支持兄弟，为什么不分卷上传呢？

还可以用www.keepmyfile.com啊。

bfqyygy

支持一下！

Nisy

呵呵 终于看到高手们出手 感动ING~~

woainioo7

真受不了 杂见一个人一出手就这么强呢?PYG一个 卧虎藏龙的地方 .

ZHOU2X

学习，收藏！！支持！！！！

Rason

刚刚试了下，来到OEP，下面
00401000   /EB 10           jmp short hmimys-P.00401012
直接用用OD dump就可以，不用修复都能直接运行，哈哈
;P

[ 本帖最后由 Rason 于 2006-9-3 23:08 编辑 ]