手脱 PECompact 2.x -> Jeremy Collake

mycsy

PECompact v2.x
PECompact 2.x -> Jeremy Collake
PeCompact v2.08 -> Bitsum Technologies(signature by loveboom) *
试炼程序 GIFMovieGear
<功能介绍: GIF Movie Gear 是一款实用的 GIF 文件制作、编辑、优化、转换软件。您可以用它打开 BMP/GIF/JPG/PNG/PSD/AVI/CUR/ICO 等格式并将它们转换或混合为 GIF 格式，并保存为 BMP/GIF/JPG/PNG/PSD/AVI/CUR/ICO 甚至 SWF 格式。您还可以用它剪切、缩放、旋转导入的图像文件，调整帧的顺序和延迟时间，更改循环次数，并用多种方法对其进行优化，以减小文件体积。此外，GIF Movie Gear 还能调用任意应用程序对帧进行实时编辑，为 GIF 文件添加注释以及输出 HTML 代码方便您在网页中调用图像。>
注册码
用户名：陳渁滺
注册码：mg37xaj2818
PEID 载入程序GIFMovieGear
PESniffer获取PECompact v2.xx
PEIDScan PECompact 2.x -> Jeremy Collake
OD载入：提示代码被压缩加密包含嵌入数据是否继续分析，单击否！

00401000 > B8 841C5000     mov eax,movgear.00501C84                 ; (Initial CPU selection) //OD载入停在这里00401000 > 
//**摸索进行，F8单步下去**//
00401005    50              push eax
00401006    64:FF35 0000000>push dword ptr fs:[0]                //走到这里仔细看下ESP 0012FFC0 这里使用ESP定律
0040100D    64:8925 0000000>mov dword ptr fs:[0],esp
00401014    33C0            xor eax,eax
00401016    8908            mov dword ptr ds:[eax],ecx
00401018    50              push eax
00401019    45              inc ebp
0040101A    43              inc ebx
0040101B    6F              outs dx,dword ptr es:[edi]
0040101C    6D              ins dword ptr es:[edi],dx
0040101D    70 61           jo short movgear.00401080
0040101F    637432 00       arpl word ptr ds:[edx+esi],si
00401023    4B              dec ebx
00401024    E8 A1B2134E     call 4E53C2CA

F9运行后到达

7C94A5E0    3B45 F8         cmp eax,dword ptr ss:[ebp-8] //F9后停在这里 继续F8单步走
7C94A5E3    72 09           jb short ntdll.7C94A5EE
7C94A5E5    3B45 F4         cmp eax,dword ptr ss:[ebp-C]
7C94A5E8    0F82 69030000   jb ntdll.7C94A957
7C94A5EE    50              push eax
7C94A5EF    E8 67000000     call ntdll.7C94A65B
7C94A5F4    84C0            test al,al
7C94A5F6    0F84 5B030000   je ntdll.7C94A957
7C94A5FC    F605 FAE3997C 8>test byte ptr ds:[7C99E3FA],80
7C94A603    0F85 025B0200   jnz ntdll.7C97010B
7C94A609    FF73 04         push dword ptr ds:[ebx+4]
7C94A60C    8D45 EC         lea eax,dword ptr ss:[ebp-14]
7C94A60F    50              push eax
7C94A610    FF75 0C         push dword ptr ss:[ebp+C]
7C94A613    53              push ebx
7C94A614    56              push esi
7C94A615    E8 2D8CFDFF     call ntdll.7C923247

省略…………………………
一路走下去

00501D46 - FFE0            jmp eax                                  ; movgear.00471681   //这里飞向光明之巅

00471681    6A 60           push 60            //传说中的OEP 再次！
00471683    68 00614800     push movgear.00486100
00471688    E8 5B110000     call movgear.004727E8
0047168D    BF 94000000     mov edi,94
00471692    8BC7            mov eax,edi

找到了OEP 脱壳成功！

chao231

沙发[s:43]

illustrator

学习了，谢谢~~

wfassg

学习了啊啊！

npc22pk

[s:386][s:386]速度围观来学习学习··

birdcfly

祝贺你，成功了

a3012352

学习下 把试炼程序发出来 我们才有机会实践啊

kghong

来学习学习

mycsy

有道理！ 我去找下 试炼程序！

sky827

上面的脱好的？