WEB开发网
开发学院网络安全黑客技术 对PECompact v1.34的手动脱壳(2) 阅读

对PECompact v1.34的手动脱壳(2)

 2006-07-03 20:26:04 来源:WEB开发网   
核心提示: 又要跳转到41E000了,瞧这里,对PECompact v1.34的手动脱壳(2)(2),又要小心了,不要在Call 0041E009语句处按F10哦015F:0041E000 9C PUSHFD015F:0041E001 60 PUSHAD015F:0041E002 E802000000

又要跳转到41E000了。瞧这里,又要小心了。不要在Call 0041E009语句处按F10哦

015F:0041E000 9C PUSHFD
015F:0041E001 60 PUSHAD
015F:0041E002 E802000000 CALL 0041E009
015F:0041E007 33C0 XOR EAX,EAX
015F:0041E009 8BC4 MOV EAX,ESP
015F:0041E00B 83C004 ADD EAX,04

一路下来到

015F:0041E092 FFD0 CALL EAX
015F:0041E094 FFA59A214000 JMP [EBP+0040219A]
015F:0041E09A 61 POPAD
015F:0041E09B 9D POPFD
015F:0041E09C 6800704100 PUSH 00417000
015F:0041E0A1 C3 RET

又要跳到417000了。这里又要小心Call 00417009语句了。

015F:00417000 9C PUSHFD
015F:00417001 60 PUSHAD
015F:00417002 E802000000 CALL 00417009
015F:00417007 33C0 XOR EAX,EAX
015F:00417009 8BC4 MOV EAX,ESP
015F:0041700B 83C004 ADD EAX,04

一路下来,终于到终点站了。万岁!

015F:00417090 6A00 PUSH 00
015F:00417092 FFD0 CALL EAX
015F:00417094 FFA59A214000 JMP [EBP+0040219A]
015F:0041709A 61 POPAD
015F:0041709B 9D POPFD
015F:0041709C 6800104000 PUSH 00401000
015F:004170A1 C3 RET

程序真正的入口到了。在ret指令处我们下指令:

PAGEIN D 400000 31000 C:\TEMP\DUMP.EXE

第三步。开始我们的后期修补工作。(Zzzzzz.....Zzzzzz......什么,大家都睡着了,没办法我总不能就此结束吧。咬牙继续写下去。)

1、启动HexWorkShop,打开Dump.exe。用菜单中的Go命令定位到0000D000处。用Select Block命令选择C40个字节,按Del键删除。

Tags:PECompact 手动 脱壳

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接