1.PEID查壳

PE Pack v1.0

2.载入OD,一上来就这架势,先F8走着

 > /            je short Pepack_1.        ; //入口点

  -\E9 C49D0000     jmp Pepack_1.0040D000

0040323C                add byte ptr ds:[eax],al

0040323E                add byte ptr ds:[eax],al

                add byte ptr ds:[eax],al

                add byte ptr ds:[eax],al

                add byte ptr ds:[eax],al
 

3.走到这里,一个pushad,又是我最喜欢的ESP定律,硬件访问断点,shift+F9一次

0040D000                  pushad

0040D001    E8      call Pepack_1.0040D006            ; //ESP

0040D006    5D              pop ebp

0040D007    83ED          sub ebp,0x6

0040D00A    80BD 3E050000 >cmp byte ptr ss:[ebp+0x53E],0x1

0040D011    0F84    je Pepack_1.0040D25F

0040D017    C685 3E050000 >mov byte ptr ss:[ebp+0x53E],0x1
 

4.ESP落脚点,这个落脚点是一个大跳转,也是指向OEP的关键跳

0040D270  - FFE0            jmp eax                           ; //ESP落脚点

0040D272    8D85 CE050000   lea eax,dword ptr ss:[ebp+0x5CE]

0040D278                  push eax

0040D279    8DBD D1040000   lea edi,dword ptr ss:[ebp+0x4D1]

0040D27F                  push ebx

0040D280                  push edi

0040D281                  push eax

5.来到OEP,脱壳把

004010CC                  push ebp                        ;//OEP

004010CD    8BEC            mov ebp,esp

004010CF    83EC          sub esp,0x44

004010D2                  push esi

004010D3    FF15 E4634000   call dword ptr ds:[0x4063E4]

004010D9    8BF0            mov esi,eax

004010DB    8A00            mov al,byte ptr ds:[eax]

004010DD    3C            cmp al,0x22

004010DF     1B           jnz short Pepack_1.004010FC

6.运行,查壳

运行OK,查壳:Microsoft Visual C++ v6.0 SPx

手脱PE Pack v1.0的更多相关文章

  1. 手脱FSG(2.0)

    1.查壳 2.x32dbg脱壳 在第二个xchg处使用ESP定律脱壳: 由于FSG壳特性,在跳转后位置向上查找,找到js\jne\jmp,jmp就是OEP位置: 在此处使用工具进行脱壳: 完成! 3. ...

  2. 手脱EZIP v1.0

    一.单步 1.载入PEID查壳 EZIP v1.0 2.载入OD,一上来就是一个大跳转,F8单步一直走 0040D0BE > $ /E9 jmp Notepad.004102DC ; //入口点 ...

  3. 通用PE工具箱 4.0精简优化版

    通用PE工具箱 4.0精简优化版 经用过不少 WinPE 系统,都不是很满意,普遍存在篡改主页.添加广告链接至收藏夹.未经允许安装推广软件等流氓行为,还集成了诸多不常用的工具,令人头疼不已.那么今天给 ...

  4. C#写爬虫,版本V1.0

    之前看了Sql Server中的基本数据类型,发现image这个类型还是比较特殊的. 于是乎就做了一个将图片以二进制流形式存储的程序http://www.cnblogs.com/JsonZhangAA ...

  5. [PaPaPa][需求说明书][V1.0]

    前   言 嘿嘿!嘿嘿!嘿嘿嘿嘿!大家好,我是XXX! 经过30K大大几篇文章在博客园怒刷存在感之后,咱们的小群瞬间从70人的数量增加到了将近400人.一下子加进来这么多人我还真是有点不适应啊! 我知 ...

  6. 手写PE文件(二)

    [文章标题]: 纯手工编写的PE可执行程序 [文章作者]: Kinney [作者邮箱]: mohen_ng@sina.cn [下载地址]: 自己搜索下载 [使用工具]: C32 [操作平台]: win ...

  7. lib-qqwry v1.0 发布 nodejs解析纯真IP库(qqwry.dat)

    lib-qqwry是当初学习node时用来练手的一个模块,用来解析纯真IP库的 现在发一个v1.0版本弥补我当时稚嫩的代码. 意外收获是,整理代码后发现,相比v0.x版本 急速模式下的效率提升大概20 ...

  8. 【转】寻找最好的笔记软件:三强篇(EverNote、Mybase、Surfulater) (v1.0) (

    原文网址:http://blog.sina.com.cn/s/blog_46dac66f01000b57.html 寻找最好的笔记软件:三强篇(EverNote.Mybase.Surfulater) ...

  9. RDIFramework.NET平台代码生成器V1.0发布(提供下载)

    RDIFramework.NET平台代码生成器V1.0发布(提供下载)   RDIFramework.NET(.NET快速开发整合框架)框架做为信息化系统快速开发.整合的框架,其目的一至是给用户和开发 ...

随机推荐

  1. Tensorflow框架之AlexNet

    from datetime import datetime import math import time import tensorflow as tf batch_size=32 num_batc ...

  2. 算法笔记(c++)--01背包问题

    算法笔记(c++)--经典01背包问题 算法解释起来太抽象了.也不是很好理解,最好的办法就是一步步写出来. 背包问题的核心在于m[i][j]=max(m[i-1][j],m[i-1][j-w[i]]+ ...

  3. presto——java.sql.SQLException: Error executing query与javax.net.ssl.SSLException: Unrecognized SSL message, plaintext connection?异常问题

    使用presto的时候以mysql为presto的数据源 安装的presto是0.95版本:使用的presto-jdbc是0.202的,这里使用jdbc去访问时候,connection可以链接成功,但 ...

  4. uc浏览器的用户体验

    用户界面: 我认为,uc浏览器的用户界面还是很招人喜欢的,可以很容易让用户找到自己想看的网页.简单快捷. 记住用户的选择: uc在每次用户访问完网站之后都会记住用户访问的高频网站,以便下次用户可以更好 ...

  5. POJ 2063 Investment 滚动数组+完全背包

    题目链接: http://poj.org/problem?id=2063 题意: 你现在有现金m元,你要做n年的存款投资,给你k种投资方式,每种需要现金vi元,能获得xi元的理论,一年到期后你要利用拿 ...

  6. IE劫持

    解析雅虎与百度流氓原理- 为什么“浏览器劫持”能够如此猖狂呢?放眼众多论坛的求助贴,我们不时可以看到诸如“我的IE被主页被改了,我用杀毒工具扫了一遍都没发现病毒,我把主页改回自己的地址,可是一重启它又 ...

  7. Beta 阶段项目计划

    Beta 阶段项目计划 NewTeam 目标 实现用户数量的目标. 在多个平台发布 完成稳定运行.界面优雅的客户端 充分测试,避免发布后出现bug影响用户使用 及时更新开发文档 合理安排时间,避免和其 ...

  8. PAT 甲级 1050 String Subtraction

    https://pintia.cn/problem-sets/994805342720868352/problems/994805429018673152 Given two strings S~1~ ...

  9. windows系统,可以ping通IP但是不能ping通网址的解决方法

    之前慌忙之中遇到过一次,当时是客户比较着急使用就没有怎么折腾,什么数据当时都没留下反正是各种方法都尝试过了,但是就是ping IP是可以通的,但是域名就是不解析,后来有个群友也是遇见了这个问题(我当时 ...

  10. 对Spark2.2.0文档的学习1-Cluster Mode Overview

    Cluster Mode Overview Link:http://spark.apache.org/docs/2.2.0/cluster-overview.html Spark应用(Applicat ...