PECompact2.70加壳后手动脱壳技巧

作者：小菜更新时间：2025-02-26 点击数：

简介：【标题】 PECompact2.70脱壳【作者】 linxer【破解平台】 Win2k3 English Version【脱壳工具】 OllyDbg v

【菜科解读】

【标题】 PECompact2.70脱壳【作者】 linxer【破解平台】 Win2k3 English Version【脱壳工具】 OllyDbg v1.10 + OllyDump插件【待脱软件】 Win2k3自带NOTEPAD(用PECompact2.70加壳)【声明】初学脱壳，只是感兴趣，没有其他目的。

失误之处敬请诸位大侠赐教！OD异常设置忽略所有异常01001000 N> B8 64BA0101 mov eax,NOTEPAD.0101BA64 //OD载入后停于此处01001005 50 push eax //向堆栈中压入一个异常处理回调函数地址(底下发生内存访问异常，将会调用这个函数)01001006 64:FF35 00000000 push dword ptr fs:[0]0100100D 64:8925 00000000 mov dword ptr fs:[0],esp //向SEH链中插入一个异常处理项01001014 33C0 xor eax,eax01001016 8908 mov dword ptr ds:[eax],ecx //内存访问异常由上面的代码知，bp 0x0101BA64，F9运行到该断点底下就是异常处理回调函数的代码了0101BA64 B8 2EA801F1 mov eax,F101A82E0101BA69 8D88 59120010 lea ecx,dword ptr ds:[eax+10001259] //此指令执行后ecx为0x0101ba87,注意这是retn指令后的第一条指令地址0101BA6F 8941 01 mov dword ptr ds:[ecx+1],eax //修改0x0101ba87处mov指令的操作数0101BA72 8B5424 04 mov edx,dword ptr ss:[esp+4] //取EXCEPTION_RECORD结构地址0101BA76 8B52 0C mov edx,dword ptr ds:[edx+C] //取发生异常指令的地址(就是上面的0x01001016)0101BA79 C602 E9 mov byte ptr ds:[edx],0E9 //修改引发异常处指令的opcode为jmp(0xe9,它的操作数是四字节的)0101BA7C 83C2 05 add edx,5 //edx是引发异常处的下条指令地址0101BA7F 2BCA sub ecx,edx //计算相对偏移0101BA81 894A FC mov dword ptr ds:[edx-4],ecx //修改引发异常处指令的操作数(它将使程序跳到0x0101ba87处)0101BA84 33C0 xor eax,eax0101BA86 C3 retn0101BA87 B8 78563412 mov eax,12345678通过对异常处理回调函数的分析，知道程序流程在异常处理结束后会来到0x0101ba87处，bp 0x0101ba87,F9到该断点处0101BA87 B8 2EA801F1 mov eax,F101A82E0101BA8C 64:8F05 00000000 pop dword ptr fs:[0]0101BA93 83C4 04 add esp,4 //删除刚才插入的异常处理项0101BA96 55 push ebp0101BA97 53 push ebx0101BA98 51 push ecx0101BA99 57 push edi0101BA9A 56 push esi0101BA9B 52 push edx //这片是真正的解压代码了，往下找对应的pop系列指令0101BA9C 8D98 12120010 lea ebx,dword ptr ds:[eax+10001212]0101BAA2 8B53 18 mov edx,dword ptr ds:[ebx+18]0101BAA5 52 push edx0101BAA6 8BE8 mov ebp,eax0101BAA8 6A 40 push 400101BAAA 68 00100000 push 10000101BAAF FF73 04 push dword ptr ds:[ebx+4]0101BAB2 6A 00 push 00101BAB4 8B4B 10 mov ecx,dword ptr ds:[ebx+10]0101BAB7 03CA add ecx,edx0101BAB9 8B01 mov eax,dword ptr ds:[ecx]0101BABB FFD0 call eax0101BABD 5A pop edx0101BABE 8BF8 mov edi,eax0101BAC0 50 push eax0101BAC1 52 push edx0101BAC2 8B33 mov esi,dword ptr ds:[ebx]0101BAC4 8B43 20 mov eax,dword ptr ds:[ebx+20]0101BAC7 03C2 add eax,edx0101BAC9 8B08 mov ecx,dword ptr ds:[eax]0101BACB 894B 20 mov dword ptr ds:[ebx+20],ecx0101BACE 8B43 1C mov eax,dword ptr ds:[ebx+1C]0101BAD1 03C2 add eax,edx0101BAD3 8B08 mov ecx,dword ptr ds:[eax]0101BAD5 894B 1C mov dword ptr ds:[ebx+1C],ecx0101BAD8 03F2 add esi,edx0101BADA 8B4B 0C mov ecx,dword ptr ds:[ebx+C]0101BADD 03CA add ecx,edx0101BADF 8D43 1C lea eax,dword ptr ds:[ebx+1C]0101BAE2 50 push eax0101BAE3 57 push edi0101BAE4 56 push esi0101BAE5 FFD1 call ecx0101BAE7 5A pop edx0101BAE8 58 pop eax0101BAE9 0343 08 add eax,dword ptr ds:[ebx+8]0101BAEC 8BF8 mov edi,eax0101BAEE 52 push edx0101BAEF 8BF0 mov esi,eax0101BAF1 8B46 FC mov eax,dword ptr ds:[esi-4]0101BAF4 83C0 04 add eax,40101BAF7 2BF0 sub esi,eax0101BAF9 8956 08 mov dword ptr ds:[esi+8],edx0101BAFC 8B4B 0C mov ecx,dword ptr ds:[ebx+C]0101BAFF 894E 14 mov dword ptr ds:[esi+14],ecx0101BB02 FFD7 call edi0101BB04 8985 FA120010 mov dword ptr ss:[ebp+100012FA],eax0101BB0A 8BF0 mov esi,eax0101BB0C 8B4B 14 mov ecx,dword ptr ds:[ebx+14]0101BB0F 5A pop edx0101BB10 EB 0C jmp short NOTEPAD.0101BB1E0101BB12 03CA add ecx,edx0101BB14 68 00800000 push 80000101BB19 6A 00 push 00101BB1B 57 push edi0101BB1C FF11 call dword ptr ds:[ecx]0101BB1E 8BC6 mov eax,esi0101BB20 5A pop edx0101BB21 5E pop esi0101BB22 5F pop edi0101BB23 59 pop ecx0101BB24 5B pop ebx0101BB25 5D pop ebp //到这里真实的NOTEPAD代码被释放出来0101BB26 FFE0 jmp eax //F4运行到该处到这里只要在F7一下就到了真正的NOTEPAD程序了，dump下来，就OK了。

【总结】PECompact2.70脱壳步骤：1.OD加载程序，记下OD停处指令的第二个操作数xxxxxxxx,Ctrl + G到xxxxxxxx处2.从xxxxxxxx处Ctrl + F查找jmp eax指令3.F4运行到jmp eax处4.F7步过一条指令5.Dump内存镜像6.完事收工 PECompact2.70,加壳,后,手动,脱壳,技巧,【,

战败后，她被百般凌辱，称霸一时的美女女帝王被游街示众

唐太宗据说是个有道的明君，虽然为了皇位早年杀兄逼父，晚年又杀自己的儿子，但根据正史上的记载他还是远小人，近贤臣，虚怀纳谏，从善如流的大好人。

他在位期间对外击败了，对内创造了所谓的“”。

据说贞观六年(公元632年)全国只有390名死刑犯。

唐太宗把他们全部释放回家与家人诀别，条件是第二年必须回来受死。

没想到第二年这些人居然真的一个不少的回来找死了。

于是唐太宗就把他们全部赦免了。

这个故事见于正史，真实性似乎不容怀疑。

可是不知道什么道理，这种近乎完美的儒家以道德治国的政治典范却再也没有出现过。

即使是唐太宗本人也没有把这个良好的纪录保持下来。

唐太宗死后不到四年在浙江发生了一场大规模的农民起义，领导这次起义的是一个名叫的女子。

陈硕真这个名字也有写作陈硕贞的。

她是睦州青溪(今浙江淳安)人。

原本的职业或许是当地的巫女，道姑一类。

据说她在起义前为了扩大影响，曾经自称马上要羽化登仙，与自己的乡邻诀别，准备隐居一段日子后再以“神仙”的面目出现。

不过她的运气不太好，刚刚躲起来没多久就被人告发，被官府抓了起来。

然而奇迹就在这时出现了。

本来，陈硕真的这种江湖骗术，又有苦主告发，属于一类，免不了要蹲大牢的。

可是根据史书记载，官府居然以问不出口供，证据不足将其立即释放了。

这就很让人怀疑她到底用了什么手段才得以脱逃。

一种情况当然是她碰上了一个青天大老爷。

可是从不久后她起兵群众纷纷响应来看，当地官员决不会是什么明镜高悬的人物。

陈硕真被释放后，她的姻亲立即到处宣传陈硕真已经从成仙从天界重回人间，现在法力无边，变化莫测，能够驱使鬼神，并显示种种神迹。

这番宣传非常有效，陈硕真周围很快就聚集起了一大批信徒。

本来，利用迷信来鼓动群众起事并不是陈硕真的首创。

汉末的领袖就利用“太平道”来组织群众。

所谓的种种“神迹”，多半是骗术加魔术。

不知道陈硕真用了什么办法，从后来连官军也认为她的确有神力的情况来看，她用的方法一定非常成功，让敌人都坚信不疑。

大概美女的说服力总比臭男人要强得多吧。

总之，陈硕真虽然不是第一个以传教起家的农民起义领袖，却是第一个造反的女。

这一点对后世的影响很大。

后世的唐赛儿，王聪儿，王囊仙，林黑儿等都是以这种方式起家的。

陈硕真的影响传播的很快，不久方圆百里之内的百赶来向她顶礼膜拜。

于是陈硕真认为时机已经成熟，永徽四年(公元653年)十月初，陈硕真正式起兵。

她起兵后立即建立政府组织，自称为“文佳”。

接着，陈硕真以区区两千人马就攻陷睦州首府及所属诸县，顿时震动朝野。

睦州各地的百姓群起响应，起义军很快发展到数万人。

于是陈硕真乘胜进攻安徽。

城池防守严密，陈硕真虽然聚集了几万人，但大多是没有受过军事训练的乌合之众，又没有攻城器械，所以久攻不下。

这时起义的消息终于传到长安，命令扬州刺史房仁裕率兵围剿。

不过这时起义的主战场已经不在安徽而转到了今天的浙江金华。

原来陈硕真占领睦州后就命令大将童文宝领兵四千奔袭金华。

不料金华也是一块难啃的骨头.当时的刺史是崔义玄，他在当时也是个人物。

曾先投奔李密，未受重用，改投李渊。

史书上说李渊多次采纳他的计策，算得是个身经百战的智将。

他接到童文宝前来的警报，立刻集合部将准备发兵抵抗。

不料手下诸将慑于陈硕真的声威，纷纷劝说他放弃抵抗，说：“陈硕真是真的有神灵护体，敢与之对抗的一定会被灭族。

”谁也不敢出兵。

这时，崔义玄手下的考勤参谋(司功参军)崔玄籍说： “顺天心合民意的起兵，有时尚且不能成功，陈硕真不过是个有点法术的女人，一定坚持不了很久。

” 崔义玄闻言大喜，立刻任命崔玄籍为先锋，自己亲自统帅大军抵抗童文宝。

陈硕真听说金华战局不利，就率领主力增援童文宝。

双方主力在桐庐县东二十五公里相遇，陷入了僵持状态，古代作战最讲究的就是士气。

士气高昂的一方往往能够轻易击败士气低落的一方。

陈硕真的大多数部队虽然是乌合之众，但是由于大家对陈硕真的“神力”，所以虽然没有受过军事训练，但是士气高昂，打仗不怕死。

而政府军中的大多数人也相信陈硕真有“神力”所以装备虽然精良却士气低落。

此消彼长之下，自然打成一个平手。

可是老天好像不太愿意帮陈硕真的忙，相持几天之后，忽然有一颗陨星坠落在陈硕真的大营中。

崔义玄不愧是智将，立刻大造舆论说这就是陈硕真的将星陨落，陈硕真必定灭亡。

崔义玄统帅的政府军军心顿时大振。

而起义军方面显然没有把这颗陨星当作吉兆。

在随后的决战中，起义军崩溃，数千人被杀，数万人投降。

陈硕真撤往睦州。

崔义玄乘胜追击。

追到睦州时正好房仁裕的大军也赶到了。

于是陈硕真被前后夹击，苦战之后，。

最终陈硕真战败被俘，抓住她之后将领命令将她的衣衫褪去，放在囚车里面游街示众。

一连三天三夜不给陈硕真任何水和食物。

可以说对她是百般凌辱，最终这位称霸一时的美女女皇帝在痛苦之中离开了人世! 随机文章汉武帝手下李陵逞凶斗狠该如何正确对待人工智能，毁灭世界或是助手（全在人类一念之间）怎么看出来水母死了，水母死了的样子图片(死后身体会分解成水)间谍卫星有什么作用，可监测核爆炸/能计算水下60米潜艇航速中国人发现的第一颗小行星，朱塞普·皮亚齐于1801年发现谷神星