系统相关『OS』, 脱壳『Unpack』

ExeInfo PE ver. 0.0.2.4 by A.S.L ( c ) 2006.03 – 2009.xx

5 条评论

ImageHost.org
___________________________________________________________________________

ExeInfo PE ver. 0.0.2.4 by A.S.L ( c ) 2006.03 – 2009.xx

freeware version for Windows XP

Windows 32 PE executable file checker , compilators, exe packers ….

with solve hint for unpack / internal exe tools / rippers

___________________________________________________________________________
猛击此处下载!

Continue Reading

脱壳『Unpack』

普通壳的脱壳方法和脱壳技巧【转载】

没有评论

常见脱壳知识:
1.PUSHAD (压栈) 代表程序的入口点
2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近
3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP),
只要我们找到程序真正的OEP,就可以立刻脱壳。

脱壳的几种方法:
方法一:单步跟踪
方法二:ESP定律脱壳
方法三:内存跟踪
方法四:跟踪出口法
方法五:最后一次异常法
方法六:懒人脱壳法

Continue Reading

脱壳『Unpack』

PEncrypt 4.0 Gamma / 4.0 Phi -> junkcode脱壳手记 [转载]

没有评论

今天要脱的是PEncrypt 4.0加的壳,是一个记事本程序,这个记事本程序比较奇怪,令我的修复出现了一点点小的波折。

加壳的记事本程序下载地址: [点击浏览该文件:PEncrypt V4.0.rar]

首先PEID查壳,显示:PEncrypt 4.0 Gamma / 4.0 Phi -> junkcode [Overlay],有附加数据。然后用ollydbg载入,设置“调试选项”,在“异常”中,把所所有的勾都去掉,不要忽略异常。然后按shift+F9忽略异常运行,应该是按3次,这个记事本就运行了。

Continue Reading
Close Menu