存档

文章标签 ‘PECompact’

PECompact 2.x -> Jeremy Collake脱壳

2011年3月20日 没有评论

看到网上有用SEH脱壳的,看的不是很明白(最主要还是讲的很不明白,然后很多人千篇一律的转载,所以就看不明白了)。另外还有看到用ESP脱壳的,这个比较好理解(ESP定律就那么一个套路,不懂的请看《ESP定律脱壳》一文)。
首先,对目标程序用PEiD查壳,提示PECompact 2.x -> Jeremy Collake,然后OD载入,OD会提示数据有加密或者压缩,点击否。然后OD断下的代码大概如下:

00401000 > B8 D09A6D00 MOV EAX,Waterm[......]

继续阅读

分类: 逆向调试 标签: , , ,