学脱DxPack V0.86的壳 - yuanlanxiaup - ITeye博客

`

yuanlanxiaup

浏览: 896440 次

最近访客更多访客>>

wangyy

duwu

WangJiaX

nowayout

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

全部博客 (1106)

社区版块

存档分类

最新评论

netkongjian：不错CAD控件知识，感谢分享[deyi]
适合任何CAD版本的CAD开发技巧
xz1017347332：楼主，我试着照着你的方法做。开始，除了最后一个在状态栏显示坐标 ...
Winform中的Google地图操作
xglla_1129：有视频吗发我一份谢谢啊 xglla_1129@163 ...
软考路上
jj7jj7jj：架构不错，多谢群主分享
分享下曾经做的一个JS小游戏——《Battle City》
zinss26914： case只需要4种情况就行了，怎么还搞出8种？
C语言的一个简单算法: 26个字母随机步生成

学脱DxPack V0.86的壳

阅读更多

【工具】PEiD,OllyDbg,ImportREC
【目的】学习研究
【目标】Win98记事本，用DxPack V0.86加过壳的

最近对脱壳比较感兴趣，便从网上搜集了一些资料拿来研究，收获不小。
1、先用PEiD查壳，当然是DxPack V0.86 -> Dxd *，我用的PEiD是最新版的，能够查出这个壳，以前的版本是查不出的。

2、载入OllyDbg ，会弹出一个入口点警报对话框，点确定，接着又弹出一个对话框询问是否继续分析，选否。
0040D000 > 60 PUSHAD //程序停在这里,F8单步执行
0040D001 E8 00000000 CALL dxpack.0040D006 //C
0040D006 5D POP EBP
0040D007 8BFD MOV EDI,EBP
0040D009 81ED 06104000 SUB EBP,dxpack.00401006
0040D00F 2BBD 94124000 SUB EDI,DWORD PTR SS:[EBP+401294]
0040D015 81EF 06000000 SUB EDI,6
0040D01B 83BD 14134000 0>CMP DWORD PTR SS:[EBP+401314],1
0040D022 0F84 2F010000 JE dxpack.0040D157 //一直F8单步执行到这里,发现是个长跳转，回车

0040D157 8B85 9C124000 MOV EAX,DWORD PTR SS:[EBP+40129C] //按回车后,跳到这行,按F4执行到这
0040D15D 03C7 ADD EAX,EDI //F8继续单步执行
0040D15F 894424 1C MOV DWORD PTR SS:[ESP+1C],EAX
0040D163 61 POPAD //关键,脱壳时到POPAD就要注意了,一般程序的直正入口地址就在这附近
0040D164 FFE0 JMP EAX //到这里,程序的真正入口地址出现了,就在EAX寄存器中,再按F8

004010CC 55 PUSH EBP //到了,这就是程序的真正入口地址
004010CD 8BEC MOV EBP,ESP
004010CF 83EC 44 SUB ESP,44
004010D2 56 PUSH ESI

点右键用OllyDump脱壳

3 、用ImportREC修复一下

分享到：

ASP.NET中数据库应用-身份证信息查询器 | C#中数据库应用-身份证信息查询器

2007-01-10 15:37
浏览 661
评论(0)
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

万能脱壳机能够快速准确的脱很多流行的壳: dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - ...

最新最好用的脱壳机80%都可以脱: dxpack v0.86 v1.0 !epack v1.0 !epack v1.4 bjfnt v1.2 v1.3 mew5 mew v1.0 v1.1 packman v1.0 PEDiminisher v0.1 pex v0.99 petite v1.2 v1.3 v1.4 v2.2 v2.3 All Version winkript v1.0 pklite32 ...

红黑全能自动脱壳机——非常强大的脱壳工具: dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - ...

万能自动脱壳机: dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 ...

红黑全能自动脱壳机——全能脱壳机: dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - ...

ICSharpCode.SharpZipLib.v0.86.dll: ICSharpCode.SharpZipLib.v0.86.dll 用于NPOI 中2007版本以上的文件

FreeRapid Downloader v0.86u1 Build 581: FreeRapid Downloader基于Java技术构建，因此在使用之前必须先保证你的系统中安装有Java虚拟机。... 另外，它还具备简体中文语言界面，支持多平台（MS Windows, Linux 和 MacOS），自动更新插件等众多功能。

NT Locale Emulator Advance(NTLEA)区域及内码转换 v0.86中文绿色版: NT Locale Emulator Advance(NTLEA)区域及内码转换 NTLEA （NT Locale Emulator Advance），是一个区域及内码转换软件。专门用来解决游戏或软件乱码。尤其是喜欢玩日语游戏的读者一定要好好关注此文。...

全能脱壳机: dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - ...

16种可用ESP定律脱的壳: 9. DxPACK V0.86：同PEDiminisher，ESP+S(JMP EAX or 61FFE0)。 10. PKLITE32 1.1：F8五次后找到EOP。 11. 32Lite 0.03a：寻找PUSH EAX和RETN，然后是CALL和JMP指令。 12. VGCrypt PE Encryptor V0.75：设置断点（F9...

商业编程-源码-C.P.G.B.留言版 v0.86(繁体).zip: 这里的“C.P.G.B.”可能代表项目或开发团队的缩写，而“v0.86”则表明这是该软件的第0.86个版本，通常在软件开发中，版本号的提升意味着修复了错误、增加了新功能或进行了优化。【描述】"商业编程-源码-C.P.G.B....

行业之星自助建站系统 v0.86 单用户版: 行业之星自助建站系统 0.86 单用户版更新内容：1.增加代理商网站推广功能查询子站注册数量的流程：后台->超级用户管理->已申请网站管理2.增加新闻图片水印功能设置方法：系统管理->添加水印！行业之星自助...

kaillerasrv-0.86-win32汉化版: 只是把kaillerasrv.conf文件内容汉化了一下。用记事本打开 kaillerasrv.conf文件，修改服务器配置，过路人 odv1@qq.com hi.baidu.com/odv1

行业之星自助建站系统 v0.86 单用户版.zip: 行业之星自助建站系统 0.86 多用户版更新内容： 1.增加代理商网站推广功能查询子站注册数量的流程：后台->超级用户管理->已申请网站管理 2.增加新闻图片水印功能设置方法：系统管理->添加水印！ ...

aid-0.86b2f2new.apk: v0.86b2f2版更新日志 1、修复ssh连接，不需任何配置直接用ssh demo@192.168.0.100 -p9022命令连接，密码：demo 2、内置Java（openJDK） 3、内置最新版node 12.18/npm6 4、新增X模式，可以在X模式下体验和PC上Linux...

C.P.G.B.留言本 v0.86 繁体版: 功能介绍： 1.回复功能可在主留言表格内 2.线上版面编辑 3.CSS样式表线上编辑 4.删除功能 5.悄悄话功能 6.自动侦测图片功能 7.采用register_globals=off的写法 8.线上图片更名系统 9.回覆留言跑到最底层 10.... 11....

BitComet_0.86_setup: BitComet_0.86_setup 是一个针对BitComet软件的安装程序，该软件是一款流行的P2P（peer-to-peer）文件分享工具，尤其在下载BitTorrent协议下的大文件时表现出色。这个版本是0.86，意味着它是该软件的某个历史更新...

红白机模拟器VirtuaNES0.86a_TPU.rar: 【标题】"红白机模拟器VirtuaNES0.86a_TPU.rar" 提供的是一个经典的红白机游戏模拟器，名为VirtuaNES。VirtuaNES是针对任天堂娱乐系统（Nintendo Entertainment System，简称NES），也就是国内常说的“小霸王”游戏...

SharpZipLib Version 0.86.0: 在"SharpZipLib Version 0.86.0"中，我们可以探讨以下几个核心知识点： 1. **ZIP文件操作**：SharpZipLib提供了创建、读取、更新和提取ZIP文件的能力。你可以添加或删除ZIP内的文件，甚至可以在不解压整个ZIP的情况...

VirtuaNES0.86a_TPU: VirtuaNES0.86a_TPU 是一个经典的NES（Nintendo Entertainment System）模拟器，专为在现代计算机上运行复古的8位任天堂游戏而设计。NES是80年代末90年代初非常流行的游戏机，承载了无数人的童年记忆。这个模拟器...

Global site tag (gtag.js) - Google Analytics