==============================================
该方法试用于PECompactV1.71,V1.76,V1.82
具体看下面的示例
==============================================
这是98的Calc.exe使用PECompact1.82压缩过的结果
010153A0 >EB 06 JMP SHORT CALC.010153A8<==第一条指令
010153A2 68 E0190100 PUSH 119E0<======这就是程序的原始OEP的RVA地址
010153A7 C3
RETN
010153A8 9C
PUSHFD
010153A9 60
PUSHAD
010153AA E8 02000000 CALL CALC.010153B1
==============================================
==============================================
这是98的Notepad.exe使用PECompact1.82压缩过的结果
0040AB20 >EB 06
JMP SHORT NOTEPAD.0040AB28<==第一条指令
0040AB22
68 CC100000 PUSH 10CC<======这就是程序的原始OEP的RVA地址
0040AB27
C3 RETN
0040AB28
9C PUSHFD
0040AB29
60 PUSHAD
0040AB2A
E8 02000000 CALL NOTEPAD.0040AB31
==============================================
==============================================
这是使用PECompact1.82压缩过LordPE.exe
[rts]的结果
004239A0 >EB 06 JMP SHORT
X.004239A8<==第一条指令
004239A2 68 103E0000 PUSH
3E10<======这就是程序的原始OEP的RVA地址
004239A7 C3
RETN
004239A8 9C
PUSHFD
004239A9 60
PUSHAD
004239AA E8 02000000
CALL X.004239B1
004239AF 33C0
XOR EAX,EAX
==============================================
==============================================
这是PECompact1.82自身的结果
0043E760 >EB 06 JMP SHORT PECOMPAC.0043E768<==第一条指令
0043E762 68 00E00300 PUSH 3E000<======这就是程序的原始OEP的RVA地址
0043E767 C3
RETN
0043E768 9C
PUSHFD
0043E769 60
PUSHAD
0043E76A E8 02000000 CALL PECOMPAC.0043E771
0043E76F 33C0 XOR EAX,EAX
==============================================
==============================================
这是ODBG1.06的结果
004F8200 >EB 06
JMP SHORT X.004F8208<==第一条指令
004F8202 68 00100000
PUSH 1000<======这就是程序的原始OEP的RVA地址
004F8207 C3
RETN
004F8208 9C
PUSHFD
004F8209 60
PUSHAD
004F820A E8
02000000 CALL X.004F8211
004F820F 33C0
XOR EAX,EAX
004F8211 8BC4
MOV EAX,ESP
==============================================
很明显,原始程序入口为
VA=ImageBase+RVA
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
下面是使用TRW2000手动脱PECompact的壳
(标准TRW2000 V1.22,我想修改版也应该可以吧)
Load PECompact V1.82
<F8>
看上面的指令,0043E762 68 00E00300
PUSH 3E000
由于ImageBas=400000,所以OEP=43E000
所以
bp if(EIP==43E000)
g
pedump c:\xx.exe
g
好了,看看C:\xx.exe是不是正常了
=================================================================
=
= inside Pandora's
Box - iPB
= Open Cracking
Group - OCG
=
=
=
DiKeN/iPB
=================================================================
- 标 题:PECompact的OEP的简易查找方法,以及实践,dumper本准备写的,但水平不够 (3千字)
- 作 者:DiKeN
- 时 间:2002-5-9
17:25:10
- 链 接:http://bbs.pediy.com