动画介绍:查壳
PECompact 1.68 - 1.84 -> Jeremy Collake
这是个有点麻烦的壳,有的CALL要用F7,而且要注意很多!大家集中精力看一下!
上来就JMP,我们往下,需要注意的地方我会打字
注意
0040C00A E8 02000000 CALL 1.0040C011
0040C00F 33C0 XOR EAX,EAX
0040C011 8BC4 MOV EAX,ESP
这个CALL到的是下面的第二句,是个很近的CALL,不要用F8步过,那样会使程序运行,脱壳也就失败了,记得我在第一个教程UPX壳的时候一不小心就跑飞了。
0040D1A7 /EB 26 JMP SHORT 1.0040D1CF
这个JMP就任他去跳
0040D21D /74 2E JE SHORT 1.0040D24D
这个要万分注意,因为以后前条件不成立(灰色的)时候要跟随,一会再细讲,这个条件成立就跳
0040D251 /0F84 9B000000 JE 1.0040D2F2
这个条件不成立,但不能往下走,为什么呢?
这个JE跳到AND AL,5F这句,在这个跳转中间,
0040D2B0 ^\EB 9B JMP SHORT 1.0040D24D
这句是往回跳,如果在0040D251 /0F84 9B000000 JE 1.0040D2F2这句直接往下,到了这个JMP将不能在下面断点,程序跑飞,这是个经验,PECompact 1.68 - 1.84 -> Jeremy Collake这个壳见到JE、JE SHORT就要跟随!然后F2断,F9运行,再F2取消断点!
这样就行了
以后都是这样,不知道大家明白不,看我操作吗,手动脱壳虽然麻烦点,但毕竟信得过啊!
0040D27D E8 B8090000 CALL 1.0040DC3A
比较运和CALL,不用F7步入
又来了,大家应该知道怎么办了吧
刚才下断点结束录像了
0040D54E 61 POPAD
多个跳转后来到了POPAD,快到OEP了
4010CC
大家眼熟吧!OK,脱壳吧
Microsoft Visual C++ 6.0 SPx Method 1
运行顺利,脱壳成功! | |
安全中国首页 > 动画中心 > 脱壳动画
