| 网站首页 | Vip会员区 | 教程 | 下载 | 图片 | QQ家园 | 免费资源 | 在线服务 | 论坛 | 博客 | 程序开发 | It学堂 | 作品发布 | 
站点相关
代刻黑客光盘或订做光盘

精品软件程序定制
为您的网站或者服务器保驾护航
相关内容
最 新 热 门
相 关 文 章
没有相关文章
您现在的位置: 红色黑客联盟 >> 教程 >> 其他技术 >> 软件破解 >> 正文
PECompact的OEP的简易查找方法
文章录入:7747.Net    责任编辑:7747.Net 

【字体:

============================================== 

该方法试用于PECompactV1.71,V1.76,V1.82 

具体看下面的示例 

 

============================================== 

这是98的Calc.exe使用PECompact1.82压缩过的结果 

 

010153A0 >EB 06            JMP SHORT CALC.010153A8<==第一条指令 

010153A2  68 E0190100      PUSH 119E0<======这就是程序的原始OEP的RVA地址 

010153A7  C3                RETN 

010153A8  9C                PUSHFD 

010153A9  60                PUSHAD 

010153AA  E8 02000000      CALL CALC.010153B1 

============================================== 

 

============================================== 

这是98的Notepad.exe使用PECompact1.82压缩过的结果 

0040AB20 >EB 06            JMP SHORT NOTEPAD.0040AB28<==第一条指令 

0040AB22  68 CC100000      PUSH 10CC<======这就是程序的原始OEP的RVA地址 

0040AB27  C3                RETN 

0040AB28  9C                PUSHFD 

0040AB29  60                PUSHAD 

0040AB2A  E8 02000000      CALL NOTEPAD.0040AB31 

============================================== 

 

============================================== 

这是使用PECompact1.82压缩过LordPE.exe [rts]的结果 

004239A0 >EB 06            JMP SHORT X.004239A8<==第一条指令 

004239A2  68 103E0000      PUSH 3E10<======这就是程序的原始OEP的RVA地址 

004239A7  C3                RETN 

004239A8  9C                PUSHFD 

004239A9  60                PUSHAD 

004239AA  E8 02000000      CALL X.004239B1 

004239AF  33C0              XOR EAX,EAX 

============================================== 

 

============================================== 

这是PECompact1.82自身的结果 

 

0043E760 >EB 06            JMP SHORT PECOMPAC.0043E768<==第一条指令 

0043E762  68 00E00300      PUSH 3E000<======这就是程序的原始OEP的RVA地址 

0043E767  C3                RETN 

0043E768  9C                PUSHFD 

0043E769  60                PUSHAD 

0043E76A  E8 02000000      CALL PECOMPAC.0043E771 

0043E76F  33C0              XOR EAX,EAX 

============================================== 

 

============================================== 

这是ODBG1.06的结果 

 

004F8200 >EB 06            JMP SHORT X.004F8208<==第一条指令 

004F8202  68 00100000      PUSH 1000<======这就是程序的原始OEP的RVA地址 

004F8207  C3                RETN 

004F8208  9C                PUSHFD 

004F8209  60                PUSHAD 

004F820A  E8 02000000      CALL X.004F8211 

004F820F  33C0              XOR EAX,EAX 

004F8211  8BC4              MOV EAX,ESP 

============================================== 

 

很明显,原始程序入口为 

VA=ImageBase+RVA 

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; 

下面是使用TRW2000手动脱PECompact的壳 

 

 

(标准TRW2000 V1.22,我想修改版也应该可以吧) 

 

Load PECompact V1.82 

<F8> 

看上面的指令,0043E762  68 00E00300      PUSH 3E000 

由于ImageBas=400000,所以OEP=43E000 

所以 

bp if(EIP==43E000) 

pedump c:\xx.exe 

 

好了,看看C:\xx.exe是不是正常了 

您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力
  • 上一篇文章:

  • 下一篇文章:
    • 发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
     | 设为首页 | 加入收藏 | 广告服务 | 我要投稿 | 关于我们 | 版权申明 | 免责声明 | 隐私声明 | 网站地图 |
    版权所有: Copyright:2004-2006 红色黑客网络 Email:7747.net@gmail.com