WEB开发网
开发学院网络安全黑客技术 对PECompact v1.34的手动脱壳(2) 阅读

对PECompact v1.34的手动脱壳(2)

 2006-07-03 20:26:04 来源:WEB开发网   
核心提示: 然后打到Dump.bin文件,用菜单中的Select Block命令选择C40个字节(用Select All一样),对PECompact v1.34的手动脱壳(2)(3),用Copy命令复制到剪贴板,切换到Dump.exe窗口用菜单中的Paste命令粘贴过来,因为ProcDump脱壳出的D

然后打到Dump.bin文件,用菜单中的Select Block命令选择C40个字节(用Select All一样)。用Copy命令复制到剪贴板。切换到Dump.exe窗口用菜单中的Paste命令粘贴过来。(注意当前位置是从D000开始的,不要贴错位置哦)

2、启动ProcDump。单击PE Editor打开Dump.exe文件。然后单击Sections,把每个Section中

PSize改成和VSize同样大小,Offset改成和RVA同样大小。按OK确定。

3、然后修改Entry Point为00001000。单击Directory按钮修改其中的Import Table的RVA为0000D000,Size为00000C40,然后保存。

4、该收工吧。看看成果。运行Dump.exe。屏幕显示 "找不到所需的.Dll文件 - JCALG1.DLL"不存在。 (险些晕倒)。

5、再看看,回到HexWorkShop窗口。用菜单中的Go命令定位到00D000处,找到如下位置:

0000D000 0000D0C8 00000000 00000000 0000D4A0 ................
0000D010 0000D2B4 0000D1A0 00000000 00000000 ................
0000D020 0000D4AD 0000D38C 0000D1CC 00000000 ................
0000D030 00000000 0000D4B7 0000D3B8 0000D260 ............`...
0000D040 00000000 00000000 0000D4C2 0000D44C ............L...
0000D050 0000D284 00000000 00000000 0000D4CF ................
0000D060 0000D470 0000D28C 00000000 00000000 p...............
0000D070 0000D4DC 0000D478 0000D294 00000000 ....x...........
0000D080 00000000 0000D4E9 0000D480 0000D2A4 ................
0000D090 00000000 00000000 0000D4F5 0000D490 ................
0000D0A0 0000D2AC 00000000 00000000 0000D500 ................
0000D0B0 0000D498 00000000 00000000 00000000 ................
0000D0C0 00000000 00000000 0000D50A 0000D51A ................
0000D0D0 0000D526 0000D538 0000D548 0000D556 &...8...H...V...

6、把从0000D08C开始到0000D0B2之间的字节全部改为00。保存。为什么这样改?因为这之间的字节分成两段,分别对应着输入表中对JCALG1.DLL和aplib.dll的引入。

0000D2A4 00000000 00000000 0000D4F5 0000D490
0000D2AC 00000000 00000000 0000D500 0000D498

7、运行,Ok!

附:

我写了个ProcDump的Script如下,可以省略大部分步骤。现在简要说明一下。

运行ProcDump。用Script脱壳出文件Dump.exe,然后按修补工作中的第3-5步修改即可。不过第5步时定位到0000C600字节处。因为ProcDump脱壳出的Dump.exe文件头只有600个字节,而内存中文件头要占1000个字节。所以可以得到VA=D000-1000-600=C600字节。

[5'My ONE PECompact v1.34]
L1=OBJR
L2=LOOK 60
L3=BP
L4=OBJR
L5=LOOK C3
L6=BP
L7=WALK
L8=OBJR
L9=LOOK EB,14
LA=BP
LB=WALK
LC=OBJR
LD=LOOK C2,04,00
LE=BP
LF=WALK
L10=OBJR
L11=LOOK C3
L12=BP
L13=WALK
L14=OBJR
L15=LOOK 68,??,??,??,??,C3
L16=BP
L17=STEP
OPTL1=00000000
OPTL2=01010001
OPTL3=01010001
OPTL4=00030000
OPTL5=00000000

上一页  1 2 3 

Tags:PECompact 手动 脱壳

编辑录入:爽爽 [复制链接] [打 印]
更多精彩
赞助商链接

热点阅读
焦点图片
最新推荐
精彩阅读