创新路
我们一直在努力

手脱PEC 2.x壳 (多种新方法 )

image.png

用OD载入  先使用单步 从上至下依次单步 发现途中除了两个call会让程序跑飞外 我们执行中发现没有向上跳转

所以我们也就不必断点  遇到的那两个会让程序跑起来的call 我们就不使用单步 使用转入image.png

十分顺利就进入到OEP了

image.png

   用OD自带插件脱  成功 

image.png

ESP定律法 

image.png

image.png

然后单步跟到OEP

image.png

这两种方法是我最常用到的方法 但是呢还有很多其他方法 

接下来将会用到 对BP VirtualFree 下断点来进入OEP

image.png

然后使用shift+f9 运行

image.png

再取消断点 按alt+F9 返回到用户代码

image.png

查找push 8000 (特征码)

image.png

下断点  再运行再取消断点

image.png

接着单步跟就又一次来到OEP了

下一种方法  对0045DE74进行下断点  shift+f9 执行

image.png

再取消断点

在执行到后边 有一个reten 我们执行到这里如果继续单步会返回并执行程序  所以我们在他的下一行进行断点

image.png

再shift+f9 再取消断点 再单步跟

image.png

又再一次进入到OEP 

 再下一个方法  对VirtualAlloc下断点

再shift+F9 运行

image.png

取消断点然后alt+f9(返回用户代码)

image.png

使用单步往下走 再次进入到OEP

image.png

未经允许不得转载:天府数据港官方信息博客 » 手脱PEC 2.x壳 (多种新方法 )

客官点个赞呗! (0)
分享到:

评论 抢沙发

评论前必须登录!

天府云博 - 做有态度的开发&运维&设计学习分享平台!

联系我们百度云主机