来源:安全中国PECompact有2种加壳方式,我也拜读了DiKeN"PECompactOEP简易查找思路方法",于是想深入研究下. 这是98Notepad.exe使用PECompact(JCALG1)压缩过结果 0040AB20 EB 06 JMP SHORT NOTEPAD.0040AB28第条指令 0040AB22 68 CC100000 PUSH... [阅读全文]

使用工具:SoftICE 4.00; ProcDump 1.6.2; IceDump 6.0.1.5; HexWorkShop;　　(补充句:以下Import table我称作输入表可能说法不规范标准不过我打习惯了大家原谅下)　　(注:以下文中数字为十 6进制)　　分析:　　运行ProcDump,点击Pe-Editor按钮选中PECompact.exe得到内存映象大小:Size of Image为... [阅读全文]

现在我们来保存输入表下指令　　PAGEIN D 40D000 C40 C:\TEMP\DUMP.BIN　　现在再来确定真正Entry Po　　1、这里我为了省事干脆　　BD *　　禁止所有中断然后按F5运行重新在SoftICELoader中单击Load按钮运行(当然这种思路方法在对PECompact.exe脱壳中可以用其他就不定了)又中断在第条指令窗口显示如下:015F:0041E800 EB06... [阅读全文]

目标:PECompact.exe 35,840 v1.34 脱壳　　下载:http://www.cnvnet.com/download/d/pecup.exe　　使用工具:SoftICE 4.00; ProcDump 1.6.2; IceDump 6.0.1.5; HexWorkShop;　　(补充句:以下Import table我称作输入表可能说法不规范标准不过我打习惯了大家原谅下)　　(注:以... [阅读全文]

对象:记事本pecompact1.71未注册版加壳难度:very very easy级trw载入notepad.exe1.0167:0040AB26 00C3 ADD BL,AL0167:0040AB28 9C PUSHF -停在这儿0167:0040AB29 60 PUSHA0167:0040AB2A E802000000 CALL 0040AB31 F8追入- F10后运行0167:0040A... [阅读全文]