• 标 题:脱pecompact1.71加的壳 (3千字)
  • 作 者:8989
  • 时 间:2002-2-5 23:35:41
  • 链 接:http://bbs.pediy.com

脱pecompact1.71加的壳
对象:记事本,pecompact1.71未注册版加壳
难度:very very easy级
trw载入notepad.exe
1.
0167:0040AB26 00C3            ADD      BL,AL
0167:0040AB28 9C              PUSHF  <-停在这儿
0167:0040AB29 60              PUSHA 
0167:0040AB2A E802000000      CALL    0040AB31 F8追入-> 因为F10后程序运行
0167:0040AB2F 33C0            XOR      EAX,EAX
0167:0040AB31 8BC4            MOV      EAX,ESP
0167:0040AB33 83C004          ADD      EAX,BYTE +04
2.按F10单步追踪,直到下面
0167:0040D39D 03DE            ADD      EBX,ESI
0167:0040D39F 49              DEC      ECX
0167:0040D3A0 7472            JZ      0040D414*****
0167:0040D3A2 7870            JS      0040D414*****->改为g 40D414 跳出循环
0167:0040D3A4 668B07          MOV      AX,[EDI]
0167:0040D3A7 2CE8            SUB      AL,E8
0167:0040D3A9 3C01            CMP      AL,01
0167:0040D3AB 7638            JNA      0040D3E5
3.来到这里
0167:0040D412 EB87            JMP      SHORT 0040D39B
0167:0040D414 5F              POP      EDI  《-来到这里
0167:0040D415 59              POP      ECX
0167:0040D416 33C0            XOR      EAX,EAX
0167:0040D418 85C9            TEST    ECX,ECX
0167:0040D41A 743B            JZ      0040D457*****
0167:0040D41C 8BF7            MOV      ESI,EDI
0167:0040D41E 33C0            XOR      EAX,EAX
0167:0040D420 83F904          CMP      ECX,BYTE +04
0167:0040D423 7232            JC      0040D457*****
0167:0040D425 87DB            XCHG    EBX,EBX
0167:0040D427 87DB            XCHG    EBX,EBX
0167:0040D429 87DB            XCHG    EBX,EBX
0167:0040D42B 87DB            XCHG    EBX,EBX
0167:0040D42D 87DB            XCHG    EBX,EBX
0167:0040D42F 8B1E            MOV      EBX,[ESI]------+<
0167:0040D431 03C3            ADD      EAX,EBX
0167:0040D433 D1E3            SHL      EBX,1
0167:0040D435 83D301          ADC      EBX,BYTE +01
0167:0040D438 33C3            XOR      EAX,EBX
0167:0040D43A 83C604          ADD      ESI,BYTE +04
0167:0040D43D 83E904          SUB      ECX,BYTE +04
0167:0040D440 7415            JZ      0040D457 *****改为g 40d457 跳出循环
0167:0040D442 83F904          CMP      ECX,BYTE +04
0167:0040D445 73E8            JNC      0040D42F----->不断循环跳上去
0167:0040D447 BA04000000      MOV      EDX,04
0167:0040D44C 2BD1            SUB      EDX,ECX
0167:0040D44E 2BF2            SUB      ESI,EDX
0167:0040D450 B904000000      MOV      ECX,04
0167:0040D455 EBD8            JMP      SHORT 0040D42F
0167:0040D457 3B8567974000    CMP      EAX,[EBP+00409767]
0167:0040D45D 744D            JZ      0040D4AC
4.按F10
0167:0040D52A 7422            JZ      0040D54E 这里会往下跳
0167:0040D52C 8D956BA14000    LEA      EDX,[EBP+0040A16B]
0167:0040D532 6A40            PUSH    BYTE +40
0167:0040D534 52              PUSH    EDX
0167:0040D535 FFB53D974000    PUSH    DWORD [EBP+0040973D]
0167:0040D53B FFB539974000    PUSH    DWORD [EBP+00409739]
0167:0040D541 E8F40A0000      CALL    0040E03A
0167:0040D546 85C0            TEST    EAX,EAX
0167:0040D548 0F859DFDFFFF    JNZ      NEAR 0040D2EB
0167:0040D54E 61              POPA    ××××
0167:0040D54F 9D              POPF    ×××× 
0167:0040D550 50              PUSH    EAX ××××
0167:0040D551 68CC104000      PUSH    DWORD 004010CC ××××
0167:0040D556 C20400          RET      04
5.终于完工了!yeah!

作者:风飘雪
http://fpx.yeah.net
qq:19566535于02.2.5