PEcompact脱壳

PEcompact脱壳

3
BP VirtualFree
F9到达取消断点

返回到用户代码alt+f9
查找PUSH 8000

然后单步到达

4
BP VirtualFree
两次shift+f9到达

返回到用户代码alt+f9

然后单步跟踪到达oep

5
bp 0045DE74
运行,到达后取消断点

在retn处会返回并执行程序我们现在下面下个断点，然后单步到OEP

这一段汇编比较重要注意在retn后面加上断点

6
bp VirtualAlloc
shift+f9,取消断点,返回用户代码alt+f9

查找jump

单步到OEP

7 取消异常


利用shift+f9,两次过后发现跑飞，利用第二次的SE句柄地址，（如果发现单词就跑飞了那是应为吾爱破解od中的插件strongod的过在option中将skip some Exception取消就行）

查找句柄

8 两次内存
注意对比跳跃代码
9 at Getversion
到达OEP的下方