1.PEID查壳

EXE32Pack v1.39

2.载入OD,先F8跟一下

0040A00C >  3BC0            cmp eax,eax                       ; //程序入口点

0040A00E                je short sticker.0040A012

0040A010     553BC074 >add dword ptr ds:[ebx+0x74C03B55]>

0040A01A    3BC9            cmp ecx,ecx

0040A01C                je short sticker.0040A01F

0040A01E    BC 563BD274     mov esp,0x74D23B56
 

3.直到这里,我们看到一个push入栈,ESP跟一下,下硬件访问断点,然后shift+F9

0040A012                  push ebp

0040A013    3BC0            cmp eax,eax                       ; //ESP定律

0040A015                je short sticker.0040A019

0040A017     533BC974 >add dword ptr ds:[ebx+0x74C93B53]>

0040A021    D27402        sal byte ptr ds:[edx+eax-0x7F],cl

0040A025     E8         test dword ptr ds:[edi-0x18],edx

0040A028                add byte ptr ds:[eax],al
 

4.ESP落脚点,然后继续F8单步跟一下

0040EE6F    3BE4            cmp esp,esp                       ; //ESP落脚点

0040EE71                je short sticker.0040EE74

0040EE73    BF FFE0B801     mov edi,0x1B8E0FF

0040EE78                add byte ptr ds:[eax],al

0040EE7A    003B            add byte ptr ds:[ebx],bh

0040EE7C    C9              leave

0040EE7D                je short sticker.0040EE81

0040EE7F    81845F 3BD27401>add dword ptr ds:[edi+ebx*+0x174>
 

5.OK,找到指向OEP的关键跳

0040EE74  - FFE0            jmp eax                           ; //指向OEP的关键跳

0040EE76    B8      mov eax,0x1

0040EE7B    3BC9            cmp ecx,ecx

0040EE7D                je short sticker.0040EE81

0040EE7F    81845F 3BD27401>add dword ptr ds:[edi+ebx*+0x174>

0040EE8A                je short sticker.0040EE8E

0040EE8C     5B3BDB74 >add dword ptr ds:[esi+0x74DB3B5B]>
 

6.来到OEP

0040535F                  push ebp                          ; //来到OEP

    8BEC            mov ebp,esp

    6A FF           push -0x1

     D0124000     push sticker.004012D0

          push sticker.

0040536E    :A1   mov eax,dword ptr fs:[]

                  push eax

    : >mov dword ptr fs:[],esp

0040537C    83EC          sub esp,0x68
 

7.loadPE+ImportREC脱壳,运行,查壳

OK,可以运行,查壳:Microsoft Visual C++ v6.0 (16 ms)

手脱EXE32Pack v1.39的更多相关文章

  1. 手脱ACProtect v1.35(无Stolen Code)之二

    首先,想说明的是这个壳在我的PC上是可以用上一个帖子中的方法来到假的OEP的:http://www.52pojie.cn/forum.php?mod=viewthread&tid=433462 ...

  2. 手脱ASProtect v1.23 RC1(有Stolen Code)之以壳解壳

    1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 > 01C06D00 push SoWorker.006DC001 ; //入口点 ...

  3. 手脱ASProtect v1.23 RC1(有Stolen Code)

    1.载入PEID ASProtect v1.23 RC1 常见ASprotect版本壳: ASProtect 1.23 RC4 按shift+f9键26次后来到典型异常 ASProtect 1.31 ...

  4. 手脱ACProtect V1.4X(有Stolen Code)之补区段

    首先需要说的是,这个壳是ximo大神视频教程里的 0041F000 > pushad ; //程序入口点 0041F001 E8 call NgaMy.0041F007 0041F006 E8 ...

  5. 手脱ACProtect V1.4X(有Stolen Code)

    1.载入PEID ACProtect V1.4X -> risco 首先需要说明的是,这个壳被偷取的代码非常多,如果去找的话会比较麻烦,所以我们换一种另类的方法,不脱壳也可以使用资源修改器对程序 ...

  6. 手脱ACProtect v1.35(有Stolen Code)

    1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常] ...

  7. 手脱ACProtect v1.35(无Stolen Code)

    1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常] ...

  8. 手脱FSG v1.33

    1.载入PEID FSG v1.33 (Eng) -> dulek/xt 2.载入OD,先F8跟一会 004103E3 > BE A4014000 mov esi,fsg1_33.0040 ...

  9. 手脱EZIP v1.0

    一.单步 1.载入PEID查壳 EZIP v1.0 2.载入OD,一上来就是一个大跳转,F8单步一直走 0040D0BE > $ /E9 jmp Notepad.004102DC ; //入口点 ...

随机推荐

  1. RetinaNet 迁移学习到自标数据集

    Keras-RetinaNet 在自标数据集 alidq 上训练 detection model RetinaNet 模型部署与环境配置 参考README 数据预处理 数据统计信息: 类别:gun1, ...

  2. STC 单片机ADC实现原理

    模数转换器原理 数模转换器( analog to digitI converter,ADC),简称为A/D,ADC是链接模拟世界和数字世界的桥梁.它用于将连续的模拟信号转换为数字形式离散信号.典型的, ...

  3. 关于kv的jch分片存储

    确定节点同步一致 节点启动之后,先获取本地的addrbook里面的节点信息 根据获取的addrbook里面的节点信息进行校验(向addrbook里面的节点发送hash消息确认,如果都一样,则可以广播数 ...

  4. 5个最优秀的微信小程序UI组件库

    开发微信小程序的过程中,选择一款好用的组件库,可以达到事半功倍的效果.自从微信小程序面世以来,不断有一些开源组件库出来,下面5款就是排名比较靠前,用户使用量与关注度比较高的小程序UI组件库.还没用到它 ...

  5. Junit4 单元测试框架的常用方法介绍

    Junit 介绍: Junit是一套框架(用于JAVA语言),由 Erich Gamma 和 Kent Beck 编写的一个回归测试框架(regression testing framework),即 ...

  6. flask验证登录学习过程(1)---准备

    对应flask的接口开发,目前自己可以熟练的进行.但是深入到更基础的,从注册到验证登录的过程一直不是特别清楚. 趁着年度不是特别忙的时候,特意去学习加强一下.把这个过程记录在此处. 首先是规划一个项目 ...

  7. 软件图书,偏.net方向

    深入理解计算机系统(原书第2版) 作者:Randal E.Bryant:1981年在麻省理工学院获计算机科学博士学位,现任美国卡内基·梅隆大学计算机学院院长 内容: 深入浅出地介绍了处理器.编译器.操 ...

  8. C++ Primer Plus学习:第一章

    C++入门第一章:预备知识 C++简介 C++融合了三种不同的编程方式: C语言代表的过程性语言. C++在C语言基础上添加的类代表的面向对象语言. C++模板支持的泛型编程. C++简史 20世纪7 ...

  9. Java compiler level does not match the version of the installed Java project facet. map解决方法

    右键项目"Properties",在弹出的"Properties"窗口左侧,单击"Project Facets",打开"Proje ...

  10. linux 虚拟网络模型介绍

    第一种隔离模型          每一个虚拟机实例的网卡都有两个接口,一端接在虚拟机内部,一端接在宿主机内部,如上图所示eth0就是接在虚拟机内部的,而vnet0就是接在宿主机内部的,只要再创建一个虚 ...