┆
小编注:现在最新版的绿鹰PC万能精灵5.97免费版已经免费了,可以到他的官方网站下载:5.97免费版
用PEid查看为PECompact 2.x 壳的 Jeremy Collake,目前对PECompact2.x的壳还没有专门的脱壳机,
正好最近看了些脱壳教程,参照fly大侠的方法手动脱之。 网络工具箱
用Ollydbg加载万能精灵主程序adam,将OD设置为忽略所有的异常选项。
www.wlgjx.com
进入OD后停在这:
00435CD5 a> $ B8 44725A00 mov eax,adam.005A7244
00435CDA > 50 push eax
00435CDB . 64:FF35 00000000 push dword ptr fs:[0]
00435CE2 . 64:8925 00000000 mov dword ptr fs:[0],esp
00435CE9 . 33C0 xor eax,eax
00435CEB . 8908 mov dword ptr ds:[eax],ecx
下断:bp VirtualFree 网络工具箱
77E7E2D8 B8 E2E77755 mov eax,5577E7E2
77E7E2DD 8BEC mov ebp,esp
77E7E2DF FF75 10 push dword ptr ss:[ebp+10]
77E7E2E2 FF75 0C push dword ptr ss:[ebp+C]
77E7E2E5 FF75 08 push dword ptr ss:[ebp+8]
77E7E2E8 6A FF push -1
77E7E2EA E8 04000000 call kernel32.VirtualFreeEx
77E7E2EF 5D pop ebp
77E7E2F0 C2 0C00 retn 0C wlgjx
中断后取消断点,按F8,经过两次retn后,返回005A72F1处: wlgjx
005A72EF FFD7 call edi
005A72F1 8985 23120010 mov dword ptr ss:[ebp+10001223],eax ; adam.
005A72F7 8BF0 mov esi,eax
005A72F9 59 pop ecx
005A72FA 5A pop edx
005A72FB 03CA add ecx,edx
005A72FD 68 00800000 push 8000
005A7302 6A 00 push 0
005A7304 57 push edi
005A7305 FF11 call dword ptr ds:[ecx]
005A7307 8BC6 mov eax,esi
005A7309 5A pop edx
005A730A 5E pop esi
005A730B 5F pop edi
005A730C 59 pop ecx
005A730D 5B pop ebx
005A730E 5D pop ebp
005A730F FFE0 jmp eax <------------------------- ;这里就是飞向光明之巅的入口了!
按F8直接跳进去,到这里:
wlgjx
00435CD5 a> $ 55 push ebp
00435CD6 ? 8BEC mov ebp,esp
00435CD8 ? 6A FF push -1
00435CDA > 68 B8064600 push adam.004606B8
00435CDF ? 68 50964300 push adam.00439650
00435CE4 ? 64:A1 00000000 mov eax,dword ptr fs:[0]
00435CEA ? 50 push eax
00435CEB . 64:8925 00000000 mov dword ptr fs:[0],esp
00435CF2 . 83EC 58 sub esp,58
常用软件教程wlgjx.com
打开OD的插件OllyDump,Dump!保存为adam_,但是Dump的文件还不能运行,提示无法定位程序入口点。 www.wlgjx.com
还要使用ImportREC修复输入表: 工具箱wlgjx.com
启动绿鹰PC万能精灵主程序,打开ImportREC,选取adam进程,
按“自动搜索IAT”,OEP显示:00035CD5, RAV:0005AFFC, 大小:000006C8.
按“获取输入表”,IAT信息载入成功!
按“修复抓取文件”,选取adam_,保存为adam__。
用PEid查看,显示为:Microsoft Visual C++ 6.0。
运行adam__,功能OK!
脱壳成功! 网络工具箱