动画介绍:先看看是什么样的壳 PECompact 2.x -> Jeremy Collake
1.好,用OD载入
载入前先把这些选上
2.在命令行上输入命令 BP VirtualFree 回车 运行
3.取消断点 F2
4。ALT+F9 执行到用户代码
5。查找 PUSH 8000
6。F2下断点 SHIFT+F9运行 F2取消断点
7.F4向下单步走
00481D92 - FFE0 JMP EAX ; 小僧QQ消.0047E896
00481D94 96 XCHG EAX,ESI
00481D95 E8 47000000 CALL 小僧QQ消.00481DE1
到了。。。
好,刚开始我己为这里就到软件的入口点了,但没想到不是,这是别一种壳,好像是ASPack的壳,我们先来脱脱看
什么也没有...唉,我先接个电话
好,这说明没脱完全.再来
1.向下F4
这个壳很简单,我用ESP定律法吧
2。看到右过ESP 0012FFA4红色的字了没,我们在命令行上输入命令 dd 0012FFA4 回车
3.在左下角第一行右键--断点--硬件访问--字.我们来看看(我的习惯)
4。运行
0047EA1F - E9 F83BF8FF JMP 小僧QQ消.0040261C
0047EA24 61 POPAD
0047EA25 C3 RETN
直接到了,向下F4
OK,看到了吧,VB写的,我们脱了他
Microsoft Visual Basic 5.0 / 6.0 完成
只是没脱完整.packed 还没学到,哈哈,这样就行了,88 | 
安全中国首页 > 动画中心 > 脱壳动画
