手动脱壳入门第十篇WWPack32 1.12 || 中国X黑客小组


	您现在的位置：中国X黑客小组 >> 技术文章 >> 黑客技术 >> 破解专题 >> 文章正文	用户登录新用户注册

[组图]手动脱壳入门第十篇WWPack32 1.12

热荐 ★★★

【字体：小大】

手动脱壳入门第十篇WWPack32 1.12

作者：weiyi75 文章来源：CnXHacker.Net 点击数：更新时间：2005-4-12

【脱文标题】手动脱壳入门第十篇WWPack32 1.12

【脱文作者】 weiyi75[Dfcg]

【作者邮箱】 weiyi75@sohu.com

【作者主页】 Dfcg官方大本营

【使用工具】 Peid,Ollydbg,Imprec,Loadpe

【脱壳平台】 Win2K/XP

【软件名称】 echap701

【软件简介】 WWPack32 1.12 加壳的一个Win98的记事本

【软件大小】 18 KB

【加壳方式】 WWPack32 1.x -> Piotr Warezak

【保护方式】 WWPack

【脱壳声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：

脱壳目标，WWPack32 1.12加壳的记事本。

本地下载

echap701.rar

软件后用PEiD测echap701.exe的壳为WWPack32 1.x -> Piotr Warezak。
手动脱壳建议大家用Ollydbg,工作平台Win2000,WinXp,Win9x不推荐。
手动脱壳时，用Olldbg载入程序,脱壳程序里面会有有好多循环。对付循环时，只能让程序往前运行，基本不能让它往回跳，要想法跳出循环圈。不要用Peid查入口，单步跟踪，提高手动找入口能力。

用OD载入程序后。
确定一个错误载入警告，然后Od提示程序加壳，选不继续分析。
停在这里
0040D000 >  53             PUSH EBX
0040D001 55             PUSH EBP
0040D002 8BE8          MOV EBP,EAX
0040D004 33DB          XOR EBX,EBX
0040D006 EB 60          JMP SHORT echap701.0040D068  跳走

0040D068 E8 00000000    CALL echap701.0040D06D  F7步过
0040D06D 58             POP EAX
0040D06E 2D 6D000000    SUB EAX,6D
0040D073 50             PUSH EAX
0040D074 60             PUSHAD  关键字。
0040D077 50             PUSH EAX
0040D078 58             POP EAX
0040D079 50             PUSH EAX
0040D07A 50             PUSH EAX
0040D07B 8BE8          MOV EBP,EAX
0040D07D 51             PUSH ECX
0040D07E FD             STD
...........................................................
0040D0AB 8BF8          MOV EDI,EAX
0040D0AD FC             CLD
0040D0AE AD             LODS DWORD PTR DS:[ESI]
0040D0AF 8BE8          MOV EBP,EAX
0040D0B1 B3 20          MOV BL,20
0040D0B3 EB 37          JMP SHORT echap701.0040D0EC  跳走

0040D0EC D1E5          SHL EBP,1  到这里
0040D0EE 66:4B          DEC BX
0040D0F0  ^ 77 F9          JA SHORT echap701.0040D0EB  小循环
0040D0F2  ^ 74 F0          JE SHORT echap701.0040D0E4 F4下来
0040D0F4 B1 02          MOV CL,2
0040D0F6 E8 BAFFFFFF    CALL echap701.0040D0B5  F8步过
0040D0FB 3C 03          CMP AL,3
0040D0FD 72 44          JB SHORT echap701.0040D143  跳走

0040D143 3C 01          CMP AL,1  到这里
0040D145 9C             PUSHFD  又一个关键字
0040D146 B1 03          MOV CL,3
0040D148 E8 68FFFFFF    CALL echap701.0040D0B5  F8步过
0040D14D 3C 03          CMP AL,3
0040D14F 77 0F          JA SHORT echap701.0040D160
0040D151 74 04          JE SHORT echap701.0040D157
0040D153 04 05          ADD AL,5
0040D155 EB 3B          JMP SHORT echap701.0040D192  跳走

0040D192 8AC8          MOV CL,AL 到这里
0040D194 66:BA 0100    MOV DX,1
0040D198 66:D3E2       SHL DX,CL
0040D19B 66:83EA 1F    SUB DX,1F
0040D19F E8 11FFFFFF    CALL echap701.0040D0B5  F8步过
0040D1A4 66:03C2       ADD AX,DX
0040D1A7 8BD7          MOV EDX,EDI
0040D1A9 0FB7C0       MOVZX EAX,AX
0040D1AC 2BD0          SUB EDX,EAX
0040D1AE 9D             POPFD  对应PUSHFD，解压一部分。
0040D1AF 72 0A          JB SHORT echap701.0040D1BB
0040D1B1 |66:B9 0300    MOV CX,3
0040D1B5 |74 67          JE SHORT echap701.0040D21E

0040D21E 87F2          XCHG EDX,ESI 来到这里
0040D220 F3:A4          REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>
0040D222 8BF2          MOV ESI,EDX
0040D224  ^ E9 C3FEFFFF    JMP echap701.0040D0EC  往回跳,我们前几篇的脱壳文章看的应该比较多了吧
0040D229 58             POP EAX    F4直接下来
0040D22A 83C0 04       ADD EAX,4
0040D22D 2BC7          SUB EAX,EDI
0040D22F 8BC8          MOV ECX,EAX
0040D231 33C0          XOR EAX,EAX
0040D233 F3:AA          REP STOS BYTE PTR ES:[EDI]
0040D235 59             POP ECX
0040D236 5D             POP EBP
0040D237 2E:80BC0D B1020>CMP BYTE PTR CS:[EBP+ECX+2B1],0
0040D240 74 08          JE SHORT echap701.0040D24A
0040D242 83C1 11       ADD ECX,11
0040D245  ^ E9 2EFEFFFF    JMP echap701.0040D078  又往回跳,看到连续Jmp回跳，入口估计快到了。
0040D24A 8BC5          MOV EAX,EBP  F4下来。
0040D24C BB B2020000    MOV EBX,2B2
0040D251 03DD          ADD EBX,EBP
0040D253 03D9          ADD EBX,ECX
0040D255 3E:8B8D 9902000>MOV ECX,DWORD PTR DS:[EBP+299]
0040D25C 3E:2B85 9D02000>SUB EAX,DWORD PTR DS:[EBP+29D]
0040D263 03C8          ADD ECX,EAX
0040D265 8B33          MOV ESI,DWORD PTR DS:[EBX]
0040D267 83C3 04       ADD EBX,4
0040D26A 83FE 00       CMP ESI,0
0040D26D 74 12          JE SHORT echap701.0040D281  跳走。

0040D281 58             POP EAX       到这里。
0040D282 61             POPAD  关键字对应0040D074 处 PUSHAD  关键字，入口就在附近。
0040D283 58             POP EAX
0040D284 8BE8          MOV EBP,EAX
0040D286 2E:0385 9502000>ADD EAX,DWORD PTR CS:[EBP+295]
0040D28D 05 99020000    ADD EAX,299
0040D292 5D             POP EBP
0040D293 5B             P

[1] [2] 下一页

文章录入：IceRiver 责任编辑：admin

上一篇文章：手动脱壳入门第九篇Pepack 1.0

下一篇文章：手动脱壳入门第十一篇PEDiminishe 0.1

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

最新热点		最新推荐		相关文章
				病毒清除技巧u.vbe和u.bat手 Infostealer.Gampass病毒的手教你如何手动驱逐流氓软件木马病毒stup.exe的手动解决手动删除“sxs.exe病毒”方法 “随机8位数字病毒”手动清除雅虎发布messenger高危补丁带注释手动注入脚本命令总结简单介绍有关壳的加载步骤及不脱壳直接破解软件的方法

　网友评论：（只显示最新5条。评论内容只代表网友观点，与本站立场无关！）


关于我们 - 版权声明 - 帮助(？) - 广告服务 - 联系我们 - 友情链接 - 用户注册 -	Powered by ICE RIVER - STUDIO

» CnXHacker.CoM