来源:安全中国PECompact有2种加壳方式,我也拜读了DiKeN"PECompactOEP简易查找思路方法",于是想深入研究下. 这是98Notepad.exe使用PECompact(JCALG1)压缩过结果 0040AB20 EB 06 JMP SHORT NOTEPAD.0040AB28第条指令 0040AB22 68 CC100000 PUSH... [阅读全文]

来源:安全中国 该思路方法试用于PECompactV1.71,V1.76,V1.82 具体看下面举例 这是98Calc.exe使用PECompact1.82压缩过结果 010153A0 EB 06 JMP SHORT CALC.010153A8第条指令 010153A2 68 E0190100 PUSH 119E0这就是原始OEPRVA地址 ... [阅读全文]

使用工具:SoftICE 4.00; ProcDump 1.6.2; IceDump 6.0.1.5; HexWorkShop;　　(补充句:以下Import table我称作输入表可能说法不规范标准不过我打习惯了大家原谅下)　　(注:以下文中数字为十 6进制)　　分析:　　运行ProcDump,点击Pe-Editor按钮选中PECompact.exe得到内存映象大小:Size of Image为... [阅读全文]

本人对PE文件结构也不是很了解！　　1、如果你和我样使用s3早期显卡那么你需要安装sdd v6.53或者　　sdd v7.0 alpha3　　2、运行天意test如果你显卡支持话会生成个Trackit.dat　　文件！　　3、我们这次脱PE Compact 1.4 beta6壳用天意脱这个软件Software壳　　用天意似乎比trw2000更快来到关键处！　　4、此篇文章由于我水平有限无法涉及让他... [阅读全文]

对象:记事本pecompact1.71未注册版加壳难度:very very easy级trw载入notepad.exe1.0167:0040AB26 00C3 ADD BL,AL0167:0040AB28 9C PUSHF -停在这儿0167:0040AB29 60 PUSHA0167:0040AB2A E802000000 CALL 0040AB31 F8追入- F10后运行0167:0040A... [阅读全文]