PECompact2.70加壳后手动脱壳技巧
【菜科解读】
失误之处敬请诸位大侠赐教!OD异常设置忽略所有异常01001000 N> B8 64BA0101 mov eax,NOTEPAD.0101BA64 //OD载入后停于此处01001005 50 push eax //向堆栈中压入一个异常处理回调函数地址(底下发生内存访问异常,将会调用这个函数)01001006 64:FF35 00000000 push dword ptr fs:[0]0100100D 64:8925 00000000 mov dword ptr fs:[0],esp //向SEH链中插入一个异常处理项01001014 33C0 xor eax,eax01001016 8908 mov dword ptr ds:[eax],ecx //内存访问异常由上面的代码知,bp 0x0101BA64,F9运行到该断点底下就是异常处理回调函数的代码了0101BA64 B8 2EA801F1 mov eax,F101A82E0101BA69 8D88 59120010 lea ecx,dword ptr ds:[eax+10001259] //此指令执行后ecx为0x0101ba87,注意这是retn指令后的第一条指令地址0101BA6F 8941 01 mov dword ptr ds:[ecx+1],eax //修改0x0101ba87处mov指令的操作数0101BA72 8B5424 04 mov edx,dword ptr ss:[esp+4] //取EXCEPTION_RECORD结构地址0101BA76 8B52 0C mov edx,dword ptr ds:[edx+C] //取发生异常指令的地址(就是上面的0x01001016)0101BA79 C602 E9 mov byte ptr ds:[edx],0E9 //修改引发异常处指令的opcode为jmp(0xe9,它的操作数是四字节的)0101BA7C 83C2 05 add edx,5 //edx是引发异常处的下条指令地址0101BA7F 2BCA sub ecx,edx //计算相对偏移0101BA81 894A FC mov dword ptr ds:[edx-4],ecx //修改引发异常处指令的操作数(它将使程序跳到0x0101ba87处)0101BA84 33C0 xor eax,eax0101BA86 C3 retn0101BA87 B8 78563412 mov eax,12345678通过对异常处理回调函数的分析,知道程序流程在异常处理结束后会来到0x0101ba87处,bp 0x0101ba87,F9到该断点处0101BA87 B8 2EA801F1 mov eax,F101A82E0101BA8C 64:8F05 00000000 pop dword ptr fs:[0]0101BA93 83C4 04 add esp,4 //删除刚才插入的异常处理项0101BA96 55 push ebp0101BA97 53 push ebx0101BA98 51 push ecx0101BA99 57 push edi0101BA9A 56 push esi0101BA9B 52 push edx //这片是真正的解压代码了,往下找对应的pop系列指令0101BA9C 8D98 12120010 lea ebx,dword ptr ds:[eax+10001212]0101BAA2 8B53 18 mov edx,dword ptr ds:[ebx+18]0101BAA5 52 push edx0101BAA6 8BE8 mov ebp,eax0101BAA8 6A 40 push 400101BAAA 68 00100000 push 10000101BAAF FF73 04 push dword ptr ds:[ebx+4]0101BAB2 6A 00 push 00101BAB4 8B4B 10 mov ecx,dword ptr ds:[ebx+10]0101BAB7 03CA add ecx,edx0101BAB9 8B01 mov eax,dword ptr ds:[ecx]0101BABB FFD0 call eax0101BABD 5A pop edx0101BABE 8BF8 mov edi,eax0101BAC0 50 push eax0101BAC1 52 push edx0101BAC2 8B33 mov esi,dword ptr ds:[ebx]0101BAC4 8B43 20 mov eax,dword ptr ds:[ebx+20]0101BAC7 03C2 add eax,edx0101BAC9 8B08 mov ecx,dword ptr ds:[eax]0101BACB 894B 20 mov dword ptr ds:[ebx+20],ecx0101BACE 8B43 1C mov eax,dword ptr ds:[ebx+1C]0101BAD1 03C2 add eax,edx0101BAD3 8B08 mov ecx,dword ptr ds:[eax]0101BAD5 894B 1C mov dword ptr ds:[ebx+1C],ecx0101BAD8 03F2 add esi,edx0101BADA 8B4B 0C mov ecx,dword ptr ds:[ebx+C]0101BADD 03CA add ecx,edx0101BADF 8D43 1C lea eax,dword ptr ds:[ebx+1C]0101BAE2 50 push eax0101BAE3 57 push edi0101BAE4 56 push esi0101BAE5 FFD1 call ecx0101BAE7 5A pop edx0101BAE8 58 pop eax0101BAE9 0343 08 add eax,dword ptr ds:[ebx+8]0101BAEC 8BF8 mov edi,eax0101BAEE 52 push edx0101BAEF 8BF0 mov esi,eax0101BAF1 8B46 FC mov eax,dword ptr ds:[esi-4]0101BAF4 83C0 04 add eax,40101BAF7 2BF0 sub esi,eax0101BAF9 8956 08 mov dword ptr ds:[esi+8],edx0101BAFC 8B4B 0C mov ecx,dword ptr ds:[ebx+C]0101BAFF 894E 14 mov dword ptr ds:[esi+14],ecx0101BB02 FFD7 call edi0101BB04 8985 FA120010 mov dword ptr ss:[ebp+100012FA],eax0101BB0A 8BF0 mov esi,eax0101BB0C 8B4B 14 mov ecx,dword ptr ds:[ebx+14]0101BB0F 5A pop edx0101BB10 EB 0C jmp short NOTEPAD.0101BB1E0101BB12 03CA add ecx,edx0101BB14 68 00800000 push 80000101BB19 6A 00 push 00101BB1B 57 push edi0101BB1C FF11 call dword ptr ds:[ecx]0101BB1E 8BC6 mov eax,esi0101BB20 5A pop edx0101BB21 5E pop esi0101BB22 5F pop edi0101BB23 59 pop ecx0101BB24 5B pop ebx0101BB25 5D pop ebp //到这里真实的NOTEPAD代码被释放出来0101BB26 FFE0 jmp eax //F4运行到该处到这里只要在F7一下就到了真正的NOTEPAD程序了,dump下来,就OK了。
【 总结 】PECompact2.70脱壳步骤:1.OD加载程序,记下OD停处指令的第二个操作数xxxxxxxx,Ctrl + G到xxxxxxxx处2.从xxxxxxxx处Ctrl + F查找jmp eax指令3.F4运行到jmp eax处4.F7步过一条指令5.Dump内存镜像6.完事收工 PECompact2.70,加壳,后,手动,脱壳,技巧,【,
win7重装系统后无法连接网络
软件支持 在线重装、U盘制作、自定义重装 等多种模式。
win7后无法连接网络是一个常见的问题,给用户带来了很大的困扰。
本文将围绕这个问题展开,介绍一些可能的原因和解决方法,帮助用户解决网络连接问题。
工具原料:品牌型号:惠普HP EliteBook 840 G3操作系统版本:Windows 7 Professional软件版本:无一、网络驱动问题1、检查设备管理器中的网络适配器,确保驱动程序已正确安装。
如果驱动程序缺失或损坏,可以从官方网站下载并重新安装适配器的最新驱动程序。
2、如果驱动程序已安装但仍无法连接网络,可以尝试卸载驱动程序并重新安装。
在设备管理器中右键点击网络适配器,选择卸载,然后重新启动计算机,系统会自动安装适配器的默认驱动程序。
二、网络设置问题1、检查网络连接设置,确保已正确配置IP地址、子网掩码、默认网关和DNS服务器。
可以通过在命令提示符中输入ipconfig命令来查看当前网络设置。
2、如果网络设置正确但仍无法连接网络,可以尝试重置网络设置。
在命令提示符中输入以下命令:netsh winsock resetnetsh int ip reset然后重新启动计算机,系统会重置网络设置并尝试重新连接网络。
三、硬件故障问题1、检查网络线缆是否连接正常,可以尝试更换网络线缆或连接到其他可用的网络端口。
2、如果网络线缆和端口正常,但仍无法连接网络,可能是网络适配器硬件故障。
可以尝试将网络适配器更换为新的或兼容的适配器。
结论:win7后无法连接网络可能是由于网络驱动问题、网络设置问题或硬件故障引起的。
用户可以通过检查和更新驱动程序、调整网络设置或更换网络适配器来解决这个问题。
如果问题仍然存在,建议联系专业的技术支持人员进行进一步的故障排除。
标签: 注意:本站所刊载的文章均为学习交流之用,请勿用于商业用途。
对于商业使用,请联系各自版权所有者,否则法律问题自行承担。
Win7系统升级指南:全面解析升级步骤与要点 Win7系统损坏修复教程:详细步骤助你快速解决问题 win7后无法连接网络是一个常见的问题,给用户带来了很大的困扰。
本文将围绕这个问题展开,介绍一些可能的原因和解决方法,帮助用户解决网络连接问题。
工具原料:品牌型号:惠普HP EliteBook 840 G3操作系统版本:Windows 7 Professional软件版本:无一、网络驱动问题1、检查设备管理器中的网络适配器,确保驱动程序已正确安装。
如果驱动程序缺失或损坏,可以从官方网站下载并重新安装适配器的最新驱动程序。
2、如果驱动程序已安装但仍无法连接网络,可以尝试卸载驱动程序并重新安装。
在设备管理器中右键点击网络适配器,选择卸载,然后重新启动计算机,系统会自动安装适配器的默认驱动程序。
二、网络设置问题1、检查网络连接设置,确保已正确配置IP地址、子网掩码、默认网关和DNS服务器。
可以通过在命令提示符中输入ipconfig命令来查看当前网络设置。
2、如果网络设置正确但仍无法连接网络,可以尝试重置网络设置。
在命令提示符中输入以下命令:netsh winsock resetnetsh int ip reset然后重新启动计算机,系统会重置网络设置并尝试重新连接网络。
三、硬件故障问题1、检查网络线缆是否连接正常,可以尝试更换网络线缆或连接到其他可用的网络端口。
2、如果网络线缆和端口正常,但仍无法连接网络,可能是网络适配器硬件故障。
可以尝试将网络适配器更换为新的或兼容的适配器。
结论:win7后无法连接网络可能是由于网络驱动问题、网络设置问题或硬件故障引起的。
用户可以通过检查和更新驱动程序、调整网络设置或更换网络适配器来解决这个问题。
如果问题仍然存在,建议联系专业的技术支持人员进行进一步的故障排除。
菜科网系统致力于解决 Windows 系统重装解决方案,提供高效、安全、免费的系统重装服务。
重装系统后卡如何办?
软件支持 在线重装、U盘制作、自定义重装 等多种模式。
简介:重装系统后卡怎么办?这是很多电脑或手机用户在重装系统后常遇到的问题。
重装系统是为了解决电脑或手机运行缓慢、出现故障等问题的一种常见解决方法。
然而,有时候在重装系统后,用户可能会遇到系统卡顿、运行不稳定等问题。
本文将介绍一些解决重装系统后卡顿问题的方法和工具,帮助用户顺利解决这一问题。
工具原料:系统版本:Windows 10品牌型号:Dell Inspiron 15一、选择合适的重装系统软件重装系统软件是解决重装系统后卡顿问题的关键。
以下是几款常用的重装系统软件:1、魔法猪装机大师软件:该软件具有一键重装系统的功能,可以帮助用户快速恢复系统,解决卡顿问题。
2、菜科网一键重装系统软件:该软件操作简单,适用于不熟悉电脑操作的用户,可以帮助用户快速重装系统。
根据实际情况选择合适的重装系统软件,可以提高重装系统后的系统稳定性和流畅度。
二、清理系统垃圾文件重装系统后,系统中可能会残留一些垃圾文件,导致系统卡顿。
清理系统垃圾文件可以有效提升系统性能。
以下是清理系统垃圾文件的步骤:1、打开“我的电脑”,右键点击系统盘(一般为C盘),选择“属性”。
2、在“属性”窗口中,点击“磁盘清理”按钮。
3、系统会自动扫描并列出可清理的文件,勾选需要清理的文件类型,点击“确定”按钮。
4、等待系统清理完成,重启电脑。
通过清理系统垃圾文件,可以有效提升系统的运行速度和稳定性。
三、更新驱动程序驱动程序是系统与硬件设备之间的桥梁,如果驱动程序过时或不兼容,可能会导致系统卡顿。
更新驱动程序可以解决这一问题。
以下是更新驱动程序的步骤:1、打开“设备管理器”,找到需要更新驱动程序的设备。
2、右键点击设备,选择“更新驱动程序”。
3、选择自动搜索更新的驱动程序,或手动下载最新的驱动程序并安装。
4、重启电脑,使驱动程序生效。
通过更新驱动程序,可以解决系统卡顿问题,提升系统的稳定性和流畅度。
总结:重装系统后卡顿问题是很多用户常遇到的困扰,但通过选择合适的重装系统软件、清理系统垃圾文件和更新驱动程序,可以有效解决这一问题。
在重装系统前,用户应该备份重要数据,以免数据丢失。
此外,定期维护系统、及时更新系统补丁也是保持系统稳定性的重要措施。
希望本文的方法和建议能帮助用户解决重装系统后卡顿问题,提升系统的使用体验。
标签: 注意:本站所刊载的文章均为学习交流之用,请勿用于商业用途。
对于商业使用,请联系各自版权所有者,否则法律问题自行承担。
Win7系统升级指南:全面解析升级步骤与要点 Win7系统损坏修复教程:详细步骤助你快速解决问题 简介:重装系统后卡怎么办?这是很多电脑或手机用户在重装系统后常遇到的问题。
重装系统是为了解决电脑或手机运行缓慢、出现故障等问题的一种常见解决方法。
然而,有时候在重装系统后,用户可能会遇到系统卡顿、运行不稳定等问题。
本文将介绍一些解决重装系统后卡顿问题的方法和工具,帮助用户顺利解决这一问题。
工具原料:系统版本:Windows 10品牌型号:Dell Inspiron 15一、选择合适的重装系统软件重装系统软件是解决重装系统后卡顿问题的关键。
以下是几款常用的重装系统软件:1、魔法猪装机大师软件:该软件具有一键重装系统的功能,可以帮助用户快速恢复系统,解决卡顿问题。
2、菜科网一键重装系统软件:该软件操作简单,适用于不熟悉电脑操作的用户,可以帮助用户快速重装系统。
根据实际情况选择合适的重装系统软件,可以提高重装系统后的系统稳定性和流畅度。
二、清理系统垃圾文件重装系统后,系统中可能会残留一些垃圾文件,导致系统卡顿。
清理系统垃圾文件可以有效提升系统性能。
以下是清理系统垃圾文件的步骤:1、打开“我的电脑”,右键点击系统盘(一般为C盘),选择“属性”。
2、在“属性”窗口中,点击“磁盘清理”按钮。
3、系统会自动扫描并列出可清理的文件,勾选需要清理的文件类型,点击“确定”按钮。
4、等待系统清理完成,重启电脑。
通过清理系统垃圾文件,可以有效提升系统的运行速度和稳定性。
三、更新驱动程序驱动程序是系统与硬件设备之间的桥梁,如果驱动程序过时或不兼容,可能会导致系统卡顿。
更新驱动程序可以解决这一问题。
以下是更新驱动程序的步骤:1、打开“设备管理器”,找到需要更新驱动程序的设备。
2、右键点击设备,选择“更新驱动程序”。
3、选择自动搜索更新的驱动程序,或手动下载最新的驱动程序并安装。
4、重启电脑,使驱动程序生效。
通过更新驱动程序,可以解决系统卡顿问题,提升系统的稳定性和流畅度。
总结:重装系统后卡顿问题是很多用户常遇到的困扰,但通过选择合适的重装系统软件、清理系统垃圾文件和更新驱动程序,可以有效解决这一问题。
在重装系统前,用户应该备份重要数据,以免数据丢失。
此外,定期维护系统、及时更新系统补丁也是保持系统稳定性的重要措施。
希望本文的方法和建议能帮助用户解决重装系统后卡顿问题,提升系统的使用体验。
菜科网系统致力于解决 Windows 系统重装解决方案,提供高效、安全、免费的系统重装服务。
