1.载入PEID

PEncrypt 4.0 Gamma / 4.0 Phi -> junkcode [Overlay]

2.载入OD,没什么头绪,忽略所有异常,用最后一次异常法shift+F9运行两次,因为第三次会跑飞,所以运行两次,另外这个壳使用单步太费劲了,一不小心就跑飞了,所以直接使用的最后一次异常法进行脱壳的

 >  FC              cld                               ; //入口点

    FC              cld

    FC              cld

                  nop

  - E9 BDBA0000     jmp PEncrypt.0040CAC6

  - E3 D5           jecxz short PEncrypt.00400FE0

0040100B     4F           add al,0x4F

0040100D  -  A4           je short PEncrypt.00400FB3

0040100F    D248          ror byte ptr ds:[eax+0x74],cl
 

3.最后一次异常法的落脚点,落脚后,右键—转到—表达式—输入SE句柄(也叫SE处理程序)”0040CCD7”—回车

0040CCD0    9D              popfd

0040CCD1                  nop

0040CCD2    4B              dec ebx                           ; //最后一次异常法落脚点

0040CCD3    6F              outs dx,dword ptr es:[edi]

0040CCD4              arpl word ptr ds:[eax+0x69],bp

0040CCD7    8B4424        mov eax,dword ptr ss:[esp+0x4]

0040CCDB    8B00            mov eax,dword ptr ds:[eax]

0040CCDD    3D      cmp eax,0x80000004

0012FF88   0040CCD7  SE处理程序

4.回车后的位置,然后F2,SHIFT+F9,F2,也就是让程序运行到转到的位置上,然后继续F8,F8过程中,记得在向上跳转的下一行F4,也就是让程序运行到向上跳转的下一行,这是脱壳的基本原则,尽量不让程序往回跳

0040CCD3    6F              outs dx,dword ptr es:[edi]

0040CCD4              arpl word ptr ds:[eax+0x69],bp

0040CCD7    8B4424        mov eax,dword ptr ss:[esp+0x4]    ; //回车的位置

0040CCDB    8B00            mov eax,dword ptr ds:[eax]

0040CCDD    3D      cmp eax,0x80000004

0040CCE2                je short PEncrypt.0040CCEA

0040CCE4    4B              dec ebx
 

5.找到关键跳,指向OEP的关键跳

0040CD26    9D              popfd

0040CD27                  popad

0040CD28    BD CC104000     mov ebp,PEncrypt.004010CC

0040CD2D  - FFE5            jmp ebp                           ; //指向OEP的关键跳

0040CD2F                add byte ptr ds:[eax],al

0040CD31                add byte ptr ds:[eax],al

0040CD33                add byte ptr ds:[eax],al
 

6.来到OEP,进行脱壳,需要注意的是脱壳后无法正常运行,需要使用loadPE重建PE表才可以正常运行

004010CC                  push ebp                          ; PEncrypt.004010CC

004010CD    8BEC            mov ebp,esp

004010CF    83EC          sub esp,0x44

004010D2                  push esi

004010D3    FF15 E4634000   call dword ptr ds:[<&KERNEL32.Get>; kernel32.GetCommandLineA

004010D9    8BF0            mov esi,eax

004010DB    8A00            mov al,byte ptr ds:[eax]

004010DD    3C            cmp al,0x22

004010DF     1B           jnz short PEncrypt.004010FC

7.运行查壳

运行OK,查壳:Microsoft Visual C++ v6.0 SPx

手脱PEncrypt 4.0的更多相关文章

  1. 手脱EZIP v1.0

    一.单步 1.载入PEID查壳 EZIP v1.0 2.载入OD,一上来就是一个大跳转,F8单步一直走 0040D0BE > $ /E9 jmp Notepad.004102DC ; //入口点 ...

  2. 手脱ACProtect V2.0(无Stolen Code)

    1.载入PEID ACProtect V2.0 -> risco 2.载入OD > 00A04000 push ACP_Feed.0040A000 ; //入口点 0B104000 pus ...

  3. 手脱FSG 2.0 -> bart/xt

    声明: 只为纪录自己的脱壳历程,高手勿喷 1.在入口的第二行ESP定律下硬件断点然后F9运行8次(因为第9次就跑飞了) 0040955C > pushad 0040955D EB jmp //E ...

  4. 手脱Aspack变形壳1

    1.载入PEID Aspack v2.12 -> www.aspack.com 2.载入OD,不管是看查壳信息还是看入口特征都跟我上一次发的一个手脱Aspack v2.12的帖子相同http:/ ...

  5. 简单脱壳教程笔记(2)---手脱UPX壳(1)

    本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记. ximo早期发的脱壳基础视频教程 下载地址如下: http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7% ...

  6. 简单脱壳教程笔记(7)---手脱PECompact2.X壳

    本笔记是针对ximo早期发的脱壳基础视频教程.整理的笔记.本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 简单介绍: F ...

  7. 手动脱KBys Packer(0.28)壳实战

    作者:Fly2015 吾爱破解培训第一课选修作业第5个练习程序.在公司的时候用郁金香OD调试该加壳程序的时候出了点问题,可是回家用吾爱破解版的OD一调试,浑身精神爽,啥问题也没有. 首先使用查壳工具对 ...

  8. 【个人笔记】ximo早期发的脱壳教程——手脱UPX壳

    [个人笔记]ximo早期发的脱壳教程--手脱UPX壳   壳分为两种:压缩壳和加密壳,UPX是一种很简单的压缩壳.   手脱UPX壳: 工具:ExeinfoPE.OD 对象:rmvbfix 方法1:单 ...

  9. 手脱PE Pack v1.0

    1.PEID查壳 PE Pack v1.0 2.载入OD,一上来就这架势,先F8走着 > / je ; //入口点 -\E9 C49D0000 jmp Pepack_1.0040D000 004 ...

随机推荐

  1. redis memcache 比较

    Redis与Memcached的区别 传统MySQL+ Memcached架构遇到的问题 实际MySQL是适合进行海量数据存储的,通过Memcached将热点数据加载到cache,加速访问,很多公司都 ...

  2. javascript提高篇

    本章简介 本章内容比较少,有三个分享的知识.你可能都看过了,因为网上也有很多提问和解答,如果没看过或者没搞懂,你可以再看看这篇文章. 1. 数组去重方法的演变    --  走向代码缩短化 2. [] ...

  3. Alpha发布——美工+文案

    此作业要求参见:https://edu.cnblogs.com/campus/nenu/2018fall/homework/2283 一.功能介绍 本团队(可以低头,但没必要)开发的是一款基于腾讯微信 ...

  4. 石家庄铁道大学网站首页UI分析

    今天的软件工程王老师讲了UI的设计,以前狭隘的认为只有移动设备上的界面叫UI,百度一下才发现UI其实有这么多含义:UI即User Interface的简称.泛指用户的操作界面,UI设计主要指界面的样式 ...

  5. FPGA论文

    基于 NetFPGA 的 VCP 网络的设计与实现 --可变结构拥塞控制协议(VCP),适应于高带宽时延乘积网络的显式拥塞控制协议 无源光网络(PON) 1.区块链技术发展,物联网设备激增,服务器压力 ...

  6. SpringMVC项目中获取所有URL到Controller Method的映射

    Spring是一个很好很强大的开源框架,它就像是一个容器,为我们提供了各种Bean组件和服务.对于MVC这部分而言,它里面实现了从Url请求映射控制器方法的逻辑处理,在我们平时的开发工作中并不需要太多 ...

  7. CCF——折点计数201604-1

    问题描述 给定n个整数表示一个商店连续n天的销售量.如果某天之前销售量在增长,而后一天销售量减少,则称这一天为折点,反过来如果之前销售量减少而后一天销售量增长,也称这一天为折点.其他的天都不是折点.如 ...

  8. iOS界面设计之基础控件的学习 --- UITextField

    学习iOS界面设计也有段时间了,每次写到一些基础控件(如:UILable . UITextField)的时候就深觉应该总结一个函数来实现这些基础控件的属性设置,所以下面就是我对UITextField的 ...

  9. Spring学习 6- Spring MVC (Spring MVC原理及配置详解)

    百度的面试官问:Web容器,Servlet容器,SpringMVC容器的区别: 我还写了个文章,说明web容器与servlet容器的联系,参考:servlet单实例多线程模式 这个文章有web容器与s ...

  10. 在js和C#中split应用和去除字符串分组后的空值

    如字符串 string answer="A,B,D,",在 js和 C#按","分成数组 js: , useranswer.length - ).split(& ...