1.PEID查壳

EXE32Pack v1.39

2.载入OD,先F8跟一下

0040A00C >  3BC0            cmp eax,eax                       ; //程序入口点
0040A00E je short sticker.0040A012
0040A010 553BC074 >add dword ptr ds:[ebx+0x74C03B55]>
0040A01A 3BC9 cmp ecx,ecx
0040A01C je short sticker.0040A01F
0040A01E BC 563BD274 mov esp,0x74D23B56
 

3.直到这里,我们看到一个push入栈,ESP跟一下,下硬件访问断点,然后shift+F9

0040A012                  push ebp
0040A013 3BC0 cmp eax,eax ; //ESP定律
0040A015 je short sticker.0040A019
0040A017 533BC974 >add dword ptr ds:[ebx+0x74C93B53]>
0040A021 D27402 sal byte ptr ds:[edx+eax-0x7F],cl
0040A025 E8 test dword ptr ds:[edi-0x18],edx
0040A028 add byte ptr ds:[eax],al
 

4.ESP落脚点,然后继续F8单步跟一下

0040EE6F    3BE4            cmp esp,esp                       ; //ESP落脚点
0040EE71 je short sticker.0040EE74
0040EE73 BF FFE0B801 mov edi,0x1B8E0FF
0040EE78 add byte ptr ds:[eax],al
0040EE7A 003B add byte ptr ds:[ebx],bh
0040EE7C C9 leave
0040EE7D je short sticker.0040EE81
0040EE7F 81845F 3BD27401>add dword ptr ds:[edi+ebx*+0x174>
 

5.OK,找到指向OEP的关键跳

0040EE74  - FFE0            jmp eax                           ; //指向OEP的关键跳
0040EE76 B8 mov eax,0x1
0040EE7B 3BC9 cmp ecx,ecx
0040EE7D je short sticker.0040EE81
0040EE7F 81845F 3BD27401>add dword ptr ds:[edi+ebx*+0x174>
0040EE8A je short sticker.0040EE8E
0040EE8C 5B3BDB74 >add dword ptr ds:[esi+0x74DB3B5B]>
 

6.来到OEP

0040535F                  push ebp                          ; //来到OEP
8BEC mov ebp,esp
6A FF push -0x1
D0124000 push sticker.004012D0
push sticker.
0040536E :A1 mov eax,dword ptr fs:[]
push eax
: >mov dword ptr fs:[],esp
0040537C 83EC sub esp,0x68
 

7.loadPE+ImportREC脱壳,运行,查壳

OK,可以运行,查壳:Microsoft Visual C++ v6.0 (16 ms)

手脱EXE32Pack v1.39的更多相关文章

  1. 手脱ACProtect v1.35(无Stolen Code)之二

    首先,想说明的是这个壳在我的PC上是可以用上一个帖子中的方法来到假的OEP的:http://www.52pojie.cn/forum.php?mod=viewthread&tid=433462 ...

  2. 手脱ASProtect v1.23 RC1(有Stolen Code)之以壳解壳

    1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 > 01C06D00 push SoWorker.006DC001 ; //入口点 ...

  3. 手脱ASProtect v1.23 RC1(有Stolen Code)

    1.载入PEID ASProtect v1.23 RC1 常见ASprotect版本壳: ASProtect 1.23 RC4 按shift+f9键26次后来到典型异常 ASProtect 1.31 ...

  4. 手脱ACProtect V1.4X(有Stolen Code)之补区段

    首先需要说的是,这个壳是ximo大神视频教程里的 0041F000 > pushad ; //程序入口点 0041F001 E8 call NgaMy.0041F007 0041F006 E8 ...

  5. 手脱ACProtect V1.4X(有Stolen Code)

    1.载入PEID ACProtect V1.4X -> risco 首先需要说明的是,这个壳被偷取的代码非常多,如果去找的话会比较麻烦,所以我们换一种另类的方法,不脱壳也可以使用资源修改器对程序 ...

  6. 手脱ACProtect v1.35(有Stolen Code)

    1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常] ...

  7. 手脱ACProtect v1.35(无Stolen Code)

    1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常] ...

  8. 手脱FSG v1.33

    1.载入PEID FSG v1.33 (Eng) -> dulek/xt 2.载入OD,先F8跟一会 004103E3 > BE A4014000 mov esi,fsg1_33.0040 ...

  9. 手脱EZIP v1.0

    一.单步 1.载入PEID查壳 EZIP v1.0 2.载入OD,一上来就是一个大跳转,F8单步一直走 0040D0BE > $ /E9 jmp Notepad.004102DC ; //入口点 ...

随机推荐

  1. Gradle初使用

    我以前一直使用Maven来构建工程,这两天突然发现gradle也非常好用,记录一下自己使用gradle的过程. Gradle的下载与配置 本次选择下载的是gradle3.5版本,没选最新的gradle ...

  2. 从零开始的Python学习Episode 13——常用模块

    模块 一.time模块 时间戳(timestamp) :时间戳表示的是从1970年1月1日00:00:00开始按秒计算的偏移量. 元组(struct_time)   :struct_time元组共有9 ...

  3. Debian 9 + Windows 10 双系统安装体验

    很久之前就想在自己的电脑上也装个 Debian 玩玩了,最近正好有时间折腾,就踩了踩坑在笔记本上装了玩玩~ UEFI + GPT 解决启动相关的麻烦配置 如果在支持 UEFI 的电脑上安装 Debia ...

  4. Hyper-V虚拟机联网设置

    转自:http://www.3lian.com/edu/2012/12-22/50492.html Windows 8中内置的Hyper-V管理器可以说给许多人带来了惊喜!在Hyper-V管理器强大的 ...

  5. 《数据结构与算法JavaScript描述》中的一处错误

    最近在看<数据结构与算法JavaScript描述>这本书,看到选择排序这部分时,发现一个比较大的错误. 原书的选择排序算法是这样的: function selectionSort() { ...

  6. GIT团队实战

    项目要求 组长博客 遇到的困难及解决办法 组员1(组长):王彬 遇到的困难  在团队任务分工的时候没有充分照顾到所有人,导致队员们的工作量不均. 现场编程时间不够 解决办法 在此对组员们表示抱歉,由于 ...

  7. jsp取不到值栈的值

    是否页面用的重定向? <result name="addsuccess"  type="redirect"> ? 去掉type="redi ...

  8. HDU 5862 Counting Intersections 扫描线+树状数组

    题目链接: http://acm.split.hdu.edu.cn/showproblem.php?pid=5862 Counting Intersections Time Limit: 12000/ ...

  9. 初识 es6

    es6 可能出来已经有一段时间了,但是我到今天才发现他的好,却不是很了解他,也不知道各个浏览器的兼容性怎么样?今天就把他们都弄明白. 新增命令 let ES6新增了let命令,用来声明变量.它的用法类 ...

  10. centOS 中安装 Redis

    之前安装过了 jdk,mysql,tomcat,这次安装 Redis,最开始是将 redis 安装在 windows 下 run 的,这时安装在 Linux 里面试试. 1 . 首先得安装 c环境,用 ...