1.PEID查壳

EXE32Pack v1.39

2.载入OD,先F8跟一下

0040A00C >  3BC0            cmp eax,eax                       ; //程序入口点

0040A00E                je short sticker.0040A012

0040A010     553BC074 >add dword ptr ds:[ebx+0x74C03B55]>

0040A01A    3BC9            cmp ecx,ecx

0040A01C                je short sticker.0040A01F

0040A01E    BC 563BD274     mov esp,0x74D23B56
 

3.直到这里,我们看到一个push入栈,ESP跟一下,下硬件访问断点,然后shift+F9

0040A012                  push ebp

0040A013    3BC0            cmp eax,eax                       ; //ESP定律

0040A015                je short sticker.0040A019

0040A017     533BC974 >add dword ptr ds:[ebx+0x74C93B53]>

0040A021    D27402        sal byte ptr ds:[edx+eax-0x7F],cl

0040A025     E8         test dword ptr ds:[edi-0x18],edx

0040A028                add byte ptr ds:[eax],al
 

4.ESP落脚点,然后继续F8单步跟一下

0040EE6F    3BE4            cmp esp,esp                       ; //ESP落脚点

0040EE71                je short sticker.0040EE74

0040EE73    BF FFE0B801     mov edi,0x1B8E0FF

0040EE78                add byte ptr ds:[eax],al

0040EE7A    003B            add byte ptr ds:[ebx],bh

0040EE7C    C9              leave

0040EE7D                je short sticker.0040EE81

0040EE7F    81845F 3BD27401>add dword ptr ds:[edi+ebx*+0x174>
 

5.OK,找到指向OEP的关键跳

0040EE74  - FFE0            jmp eax                           ; //指向OEP的关键跳

0040EE76    B8      mov eax,0x1

0040EE7B    3BC9            cmp ecx,ecx

0040EE7D                je short sticker.0040EE81

0040EE7F    81845F 3BD27401>add dword ptr ds:[edi+ebx*+0x174>

0040EE8A                je short sticker.0040EE8E

0040EE8C     5B3BDB74 >add dword ptr ds:[esi+0x74DB3B5B]>
 

6.来到OEP

0040535F                  push ebp                          ; //来到OEP

    8BEC            mov ebp,esp

    6A FF           push -0x1

     D0124000     push sticker.004012D0

          push sticker.

0040536E    :A1   mov eax,dword ptr fs:[]

                  push eax

    : >mov dword ptr fs:[],esp

0040537C    83EC          sub esp,0x68
 

7.loadPE+ImportREC脱壳,运行,查壳

OK,可以运行,查壳:Microsoft Visual C++ v6.0 (16 ms)

手脱EXE32Pack v1.39的更多相关文章

  1. 手脱ACProtect v1.35(无Stolen Code)之二

    首先,想说明的是这个壳在我的PC上是可以用上一个帖子中的方法来到假的OEP的:http://www.52pojie.cn/forum.php?mod=viewthread&tid=433462 ...

  2. 手脱ASProtect v1.23 RC1(有Stolen Code)之以壳解壳

    1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 > 01C06D00 push SoWorker.006DC001 ; //入口点 ...

  3. 手脱ASProtect v1.23 RC1(有Stolen Code)

    1.载入PEID ASProtect v1.23 RC1 常见ASprotect版本壳: ASProtect 1.23 RC4 按shift+f9键26次后来到典型异常 ASProtect 1.31 ...

  4. 手脱ACProtect V1.4X(有Stolen Code)之补区段

    首先需要说的是,这个壳是ximo大神视频教程里的 0041F000 > pushad ; //程序入口点 0041F001 E8 call NgaMy.0041F007 0041F006 E8 ...

  5. 手脱ACProtect V1.4X(有Stolen Code)

    1.载入PEID ACProtect V1.4X -> risco 首先需要说明的是,这个壳被偷取的代码非常多,如果去找的话会比较麻烦,所以我们换一种另类的方法,不脱壳也可以使用资源修改器对程序 ...

  6. 手脱ACProtect v1.35(有Stolen Code)

    1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常] ...

  7. 手脱ACProtect v1.35(无Stolen Code)

    1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常] ...

  8. 手脱FSG v1.33

    1.载入PEID FSG v1.33 (Eng) -> dulek/xt 2.载入OD,先F8跟一会 004103E3 > BE A4014000 mov esi,fsg1_33.0040 ...

  9. 手脱EZIP v1.0

    一.单步 1.载入PEID查壳 EZIP v1.0 2.载入OD,一上来就是一个大跳转,F8单步一直走 0040D0BE > $ /E9 jmp Notepad.004102DC ; //入口点 ...

随机推荐

  1. 广东ACM省赛 E题

    题意: 输入一个P 使得存在一个一个N大于等于P, 并且存在m 等于 m/n * (m-1)/(n-1)=1/2. 思路 此题可以利用佩尔方程求解, 也可以打表解决.本次我解决利用的是佩尔方程(其实也 ...

  2. python3【基础】-字符串 常用的方法

    字符串一个最重要的特性就是不可修改. name.capitalize() 首字母大写 name.casefold() 大写全部变小写 name.center(50,"-") 输出 ...

  3. AJAX请求.net controller数据交互过程

    AJAX发出请求 $.ajax({ url: "/Common/CancelTaskDeal", //CommonController下的CancelTaskDeal方法 type ...

  4. Alpha 冲刺6

    队名:日不落战队 安琪(队长) 今天完成的任务 回收站前端界面. 明天的计划 查看个人信息界面. 还剩下的任务 信息修改前端界面. 设置界面. 遇到的困难 模拟机莫名其妙就崩了,调试了很久,后在队友的 ...

  5. nginx 二进制安装

    Nginx的安装方法 1:yum安装 默认是1.6版本,且在epel源中   2:源码包编译安装 源码下载:http://nginx.org/en/download.html,下载1.8稳定版本   ...

  6. jQuery之_元素滚动

    对应的知识点铺垫,但是有一个很重要的问题就是兼容IE和chorme的 1. scrollTop(): 读取/设置滚动条的Y坐标2. $(document.body).scrollTop()+$(doc ...

  7. redis 同步化操作

    异步化操作是很麻烦的的.不好控.下面介绍个同步化的库bluebird.用法很简单.看下你还子就知道了 const redis = require('redis'); const bluebird = ...

  8. jenkin报错hudson.plugins.git.GitExcept

    清除工作空间 转载请注明博客出处:http://www.cnblogs.com/cjh-notes/

  9. vscode如何用浏览器预览运行html文件

    1,打开vscode编辑器,点击编辑器主界面左上侧第五个小图标——‘扩展’按钮: 2,进入扩展搜索右拉框,在应用商店搜索框中输入“view in browser”会自动进行搜索 3,等待几秒钟时间,扩 ...

  10. LoadRunner脚本增强技巧之自动关联

    为什么要做关联,原理很简单,录制脚本的时候,服务器会给用户一个唯一的认证码来进行操作,当再次回放脚本的时候服务器又会给一个全新的认证码,而录制好的脚本是写死的,还是拿老的认证码提交,肯定会导致脚本执行 ...