您的位置:首页精文荟萃破解文章 → PECompact的OEP的简易查找方法

PECompact的OEP的简易查找方法

时间:2004/10/15 0:50:00来源:本站整理作者:蓝点我要评论(0)

 


 


==============================================
该方法试用于PECompactV1.71,V1.76,V1.82
具体看下面的示例

==============================================
这是98的Calc.exe使用PECompact1.82压缩过的结果

010153A0 >EB 06            JMP SHORT CALC.010153A8<==第一条指令
010153A2  68 E0190100      PUSH 119E0<======这就是程序的原始OEP的RVA地址
010153A7  C3                RETN
010153A8  9C                PUSHFD
010153A9  60                PUSHAD
010153AA  E8 02000000      CALL CALC.010153B1
==============================================

==============================================
这是98的Notepad.exe使用PECompact1.82压缩过的结果
0040AB20 >EB 06            JMP SHORT NOTEPAD.0040AB28<==第一条指令
0040AB22  68 CC100000      PUSH 10CC<======这就是程序的原始OEP的RVA地址
0040AB27  C3                RETN
0040AB28  9C                PUSHFD
0040AB29  60                PUSHAD
0040AB2A  E8 02000000      CALL NOTEPAD.0040AB31
==============================================

==============================================
这是使用PECompact1.82压缩过LordPE.exe [rts]的结果
004239A0 >EB 06            JMP SHORT X.004239A8<==第一条指令
004239A2  68 103E0000      PUSH 3E10<======这就是程序的原始OEP的RVA地址
004239A7  C3                RETN
004239A8  9C                PUSHFD
004239A9  60                PUSHAD
004239AA  E8 02000000      CALL X.004239B1
004239AF  33C0              XOR EAX,EAX
==============================================

==============================================
这是PECompact1.82自身的结果

0043E760 >EB 06            JMP SHORT PECOMPAC.0043E768<==第一条指令
0043E762  68 00E00300      PUSH 3E000<======这就是程序的原始OEP的RVA地址
0043E767  C3                RETN
0043E768  9C                PUSHFD
0043E769  60                PUSHAD
0043E76A  E8 02000000      CALL PECOMPAC.0043E771
0043E76F  33C0              XOR EAX,EAX
==============================================

==============================================
这是ODBG1.06的结果

004F8200 >EB 06            JMP SHORT X.004F8208<==第一条指令
004F8202  68 00100000      PUSH 1000<======这就是程序的原始OEP的RVA地址
004F8207  C3                RETN
004F8208  9C                PUSHFD
004F8209  60                PUSHAD
004F820A  E8 02000000      CALL X.004F8211
004F820F  33C0              XOR EAX,EAX
004F8211  8BC4              MOV EAX,ESP
==============================================

很明显,原始程序入口为
VA=ImageBase+RVA
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
下面是使用TRW2000手动脱PECompact的壳


(标准TRW2000 V1.22,我想修改版也应该可以吧)

Load PECompact V1.82

看上面的指令,0043E762  68 00E00300      PUSH 3E000
由于ImageBas=400000,所以OEP=43E000
所以
bp if(EIP==43E000)
g
pedump c:\xx.exe
g

好了,看看C:\xx.exe是不是正常了
=================================================================
=
=              inside Pandora's Box - iPB
=              Open Cracking Group  - OCG
=
=
=                                      DiKeN/iPB

    
    
     
    
    
     

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 去除winrar注册框方法

最新文章 比特币病毒怎么破解 比去除winrar注册框方法 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)通过Access破解MSSQL获得数据

人气排行 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)qq相册密码破解方法去除winrar注册框方法(适应任何版本)怎么用手机破解收费游戏华为无线猫HG522破解如何给软件脱壳基础教程