[
会员中心
] [
发布文章
][
发布软件
] [
中文繁體
]
文章
·
资料
电脑软件
手机软件
网站源码
电脑·手机·网络
学习
话题
娱乐
故事
文化·历史
国学典籍
法律法规
操作系统
网络
办公·文件
音频视频
图形图像
硬件·驱动程序
行业
教学学习
编程
游戏
安卓
苹果
鸿蒙
其他
ASP
ASP.NET
JSP
PHP
HTML
·
CSS
·
JavaScript
本 站 搜 索
文章
软件
[选项]
文章类别:
[全部]
电脑·手机·网络
话题
故事
文化·历史
娱乐
学习
法律·法规
国学典籍
搜索选项:
文章编号
文章标题
文章作者
文章来源
相关链接
关键字词
文章标签
文章内容
软件类别:
[全部]
操作系统
网络
办公·文件
音频视频
图形图像
行业
编程
教学学习
游戏
硬件·驱动程序
安卓系统
苹果系统
鸿蒙系统
其他系统
HTML·CSS·JavaScript
ASP
JSP
PHP
ASP.NET
搜索选项:
软件编号
软件名称
软件作者
软件来源
相关链接
关键字词
软件标签
软件简介
发 送 文 章
PECompact 2.x 完美脱壳法
〖
评论()
〗〖
留言
〗〖
收藏
〗
收信地址
填写收信人的电子邮箱
邮件主题
填写邮件主题
邮件内容
【加壳方式】PECompact2.x-JeremyCollakeOllyDbg忽略内存访问异常,载入主程序:00401000B81CBA5000MOVEAX, 0050BA1C0040100550PUSHEAX 0040100664:FF350000000PUSHDWORDPTRFS:[0]0040100D64:89250000000MOVDWORDPTRFS:[0],ESP0040101433C0XOREAX,EAX004010168908MOVDWORDPTRDS:[EAX],ECX0040101850PUSHEAX0040101945INCEBP0040101A43INCEBX0040101B6FOUTSDX,DWORDPTRES:[EDI];I/Ocommand0040101C6DINSDWORDPTRES:[EDI],DX;I/OcommandbpVirtualAlloc运行返回到用户代码:Ctrl+F搜索命令:calledi0050BAC18B4B0CMOVECX,DWORDPTRDS:[EBX+C]0050BAC4894E14MOVDWORDPTRDS:[ESI+14],ECX0050BAC7FFD7CALLEDI;跟进去0050BAC9898523120010MOVDWORDPTRSS:[EBP+10001223],EAX0050BACF8BF0MOVESI,EAX0050BAD159POPECX0050BAD25APOPEDX进入calledi,来到:0124025853PUSHEBX;GameThru.0050B9F80124025957PUSHEDI0124025A56PUSHESI0124025B55PUSHEBP0124025CE800000000CALL01240261012402615DPOPEBP0124026281ED30120010SUBEBP,10001230012402688DB527120010LEAESI,DWORDPTRSS:[EBP+10001227]0124026E8B46FCMOVEAX,DWORDPTRDS:[ESI-4]Ctrl+F搜索命令:movecx,[esi+34]0124033390NOP0124033490NOP012403358B4E34MOVECX,DWORDPTRDS:[ESI+34]0124033885C9TESTECX,ECX;ecx=8D000保存原始Import,把它改成零0124033A0F8489000000JE012403C9;这里强制跳过去,跟tE一样01240340034E08ADDECX,DWORDPTRDS:[ESI+8]0124034351PUSHECX0124034456PUSHESIbpVirtualFree,中断两次以后返回(thx2fly):0050BADC57PUSHEDI0050BADDFF11CALLDWORDPTRDS:[ECX]0050BADF8BC6MOVEAX,ESI;GameThru.004872280050BAE15APOPEDX0050BAE25EPOPESI0050BAE35FPOPEDI0050BAE459POPECX0050BAE55BPOPEBX0050BAE65DPOPEBP0050BAE7FFE0JMPEAX;飞向光明之颠^o^完全dump下来,修正输入表为8D000,收工。【OS自动脚本】////////////////////////////////////////////////PECompactV2.X完美脱壳脚本////cyclotron[BCG][DFCG][FCG][OCN]////////////////////////////////////////////msg"请忽略内存访问异常!"vardwImportgpa"VirtualAlloc","kernel32.dll"bp$RESULTrunbc$RESULTrtufindopeip,#FFD7#//calledibp$RESULTrunbc$RESULTstifindopeip,#8B4E34#//movecx,[esi+34h]bp$RESULTrunbc$RESULTstimovdwImport,ecxmovecx,0gpa"VirtualFree","kernel32.dll"bp$RESULTrunrunbc$RESULTrtufindopeip,#FFE0#//jmpeaxbp$RESULTrunbc$RESULTmsgdwImportmsg"请转储文件!"Regards,cyclotron05.2.6<br /><br />文章网址:<a href="https://dangbai.cn/Article.asp?ID=10000542" target="_blank">https://dangbai.cn/Article.asp?ID=10000542</a>
填写邮件内容
发信地址
填写发信人的电子邮箱
邮件签名
填写邮件签名
验证码
填写验证码,单击刷新验证码
程序执行中,请稍候...
发送协议
·欢迎使用本站在线文章发送系统。
·不得使用本站在线发送邮件系统发送垃圾邮件、广告邮件。
·如果收信人地址或其服务器出现错误,可能无法成功发送。
·如果有什么问题,或者意见建议,请联系[
网站管理员
]。
当百网
本站使用【啊估文章软件站】网站系统
〖
网站管理员留言簿
〗
本 站 搜 索
发 送 文 章
程序执行中,请稍候...
