PECompact v3.02脱壳 实战

tie1zhu

PECompact v3.02脱壳 实战

看了 B站上面的《吾爱破解论坛官方入门教学培训（Windows逆向入门）》，尝试完成了第一课作业四，写个帖子记录一下。

工具：

• ExeinfoPe：查壳工具。
• OllyDbg：调试程序，寻找OEP。
• LordPE：抓取内存映像【dump】。
• ImportREConstructor：重建输入表。

下文中的演示文件来自于 爱盘， 吾爱破解论坛官方入门教学培训第一期文件夹下面。

---

使用单步跟踪法脱壳。

具体的步骤：

• 查壳，PECompact 壳，压缩壳。
• 
• 载入OllyDbg调试，【单步步过】向下运行；遇到循环要向上跳转时，在跳转的下一行汇编指令，右键-断点-运行到选定位置，继续单步步过向下运行。
• 如果程序运行到地址a时，突然运行完成，就重新开始，并在再一次到达地址a时，【单步步入】。
• 程序运行【单步步过】到00401016时，【单步步过】，会跳到新地址。
• 
• 程序运行【单步步过】到7C92E473时，【单步步入】，会跳到新地址。
• 
• 程序运行【单步步过】到7C92D04A时，【单步步入】，会跳到新地址。
• 
• 程序运行【单步步过】到7C92E4F2时，【单步步入】，会跳到新地址。
• 
• 往下一直单步跟踪，直到00455DBE 的 jmp。
• 
• 单步步过一次。即可看到OEP   1DDAC。
• 
• 使用LordPE来dump内存映像。
• 右键-修正镜像大小，右键-完整转存。
• 
• 使用ImportREConstructor重建输入表，选进程，填写OEP，IAT自动搜索-获取导入表。
• 
• 修正转储 到刚才dump下来的文件，并运行。
• 

默认密码：52pojie 或者 www.52pojie.cn