貓脫 PECompact 2.x -> Jeremy Collake

血腥魔術(shù)師

貓脫 PECompact 2.x -> Jeremy Collake\r\n軟件名稱：靈點(diǎn)條碼打印系統(tǒng)\r\n語言種類： 簡體中文 \r\n版 本 號(hào)： V2.0 \r\n文件大�。� 909 K \r\n軟件類型： 共享\r\n脫殼文章作者：野貓III[D.4s]\r\n下載地址：http://download.enet.com.cn/html/030812006032201.html\r\n新版下載：http://down.itbbs.com/Software/View-Software-5672.html\r\n軟件簡介：\r\n通用的條碼打印系統(tǒng)，配置靈活支持20多種國際標(biāo)準(zhǔn)，無須專用打印機(jī)和條碼紙，在Windows系統(tǒng)下安裝即可使用,打印提供多種選項(xiàng)，可以選擇打印條碼漢字標(biāo)題，條形碼編碼，位置可以任意確定，條碼制作所見所得，提供實(shí)時(shí)預(yù)覽功能，無需在打印機(jī)上反復(fù)調(diào)試，對(duì)紙張無特殊要求，從信封，卡片，證照到不干膠標(biāo)簽，專用條碼紙都可以準(zhǔn)確打印，輸入可以批量制作，個(gè)別輸入或文本文件導(dǎo)入，輸出提供批量，選范圍和個(gè)別打印的功能，完全能夠適合各種行業(yè)的特殊要求。\r\n\r\n脫殼過程：\r\n\r\n一、用 PEiD查出是PECompact 2.x -> Jeremy Collake殼。\r\n\r\n二、用OD載入，忽略所有異常，然后重新載入程序。載入后，代碼停在這里：\r\n\r\n00401000 > $ B8 681B6300 MOV EAX,JYtmw.00631B68\r\n00401005 . 50 PUSH EAX\r\n00401006 . 64:FF35 00000>;PUSH DWORD PTR FS:[0]\r\n//F8單步來到這里，看寄存器。ESP紅了。\r\n\r\n＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋\r\nEAX 00631B68 JYtmw.00631B68\r\nECX 0012FFB0\r\nEDX 7C92EB94 ntdll.KiFastSystemCallRet\r\nEBX 7FFDF000\r\nESP 0012FFC0 。。。。。。。ESP紅了！我們接著下斷這個(gè)硬件斷點(diǎn)。\r\nEBP 0012FFF0\r\nESI FFFFFFFF\r\nEDI 7C930738 ntdll.7C930738\r\nEIP 00401006 JYtmw.00401006\r\nC 0 ES 0023 32位 0(FFFFFFFF)\r\nP 1 CS 001B 32位 0(FFFFFFFF)\r\nA 0 SS 0023 32位 0(FFFFFFFF)\r\nZ 1 DS 0023 32位 0(FFFFFFFF)\r\nS 0 FS 003B 32位 7FFDE000(FFF)\r\nT 0 GS 0000 NULL\r\nD 0\r\nO 0 LastErr ERROR_CLASS_ALREADY_EXISTS (00000582)\r\nEFL 00000246 (NO,NB,E,BE,NS,PE,GE,LE)\r\nST0 empty -UNORM D1D8 01050104 00000000\r\nST1 empty 0.0\r\nST2 empty 0.0\r\nST3 empty 0.0\r\nST4 empty 0.0\r\nST5 empty 0.0\r\nST6 empty 1.0000000000000000000\r\nST7 empty 1.0000000000000000000\r\n3 2 1 0 E S P U O Z D I\r\nFST 4020 Cond 1 0 0 0 Err 0 0 1 0 0 0 0 0 (EQ)\r\nFCW 027F Prec NEAR,53 掩碼 1 1 1 1 1 1\r\n＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋\r\n在OD命令欄輸入dd 12FFC0,Enter鍵之后，我們在數(shù)據(jù)窗口中看到：\r\n0012FFC0 00631B68 JYtmw.00631B68 。。。右鍵--斷點(diǎn)---硬件斷點(diǎn)--雙字\r\n0012FFC4 7C816D4F 返回到 kernel32.7C816D4F\r\n0012FFC8 7C930738 ntdll.7C930738\r\n＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝然后點(diǎn)OD的運(yùn)得按鈕。來到：\r\n7C957826 3B45 F8 CMP EAX,DWORD PTR SS:[EBP-8]\r\n7C957829 72 09 JB SHORT ntdll.7C957834\r\n7C95782B 3B45 F4 CMP EAX,DWORD PTR SS:[EBP-C]\r\n7C95782E ^ 0F82 F731FFFF JB ntdll.7C94AA2B\r\n7C957834 50 PUSH EAX\r\n7C957835 E8 67000000 CALL ntdll.7C9578A1\r\n7C95783A 84C0 TEST AL,AL\r\n7C95783C ^ 0F84 E931FFFF JE ntdll.7C94AA2B\r\n7C957842 F605 5AC3997C 8>TEST BYTE PTR DS:[7C99C35A],80\r\n7C957849 0F85 20720100 JNZ ntdll.7C96EA6F \r\n。。F8到這里的時(shí)候，跳轉(zhuǎn)不實(shí)現(xiàn)。右鍵--->跟隨！\r\n＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋\r\n7C96EA6F 6A 10 PUSH 10\r\n7C96EA71 53 PUSH EBX\r\n7C96EA72 6A 00 PUSH 0\r\n7C96EA74 FF75 0C PUSH DWORD PTR SS:[EBP+C]\r\n7C96EA77 56 PUSH ESI\r\n7C96EA78 E8 136B0100 CALL ntdll.7C985590\r\n7C96EA7D 8945 F0 MOV DWORD PTR SS:[EBP-10],EAX\r\n7C96EA80 ^ E9 CA8DFEFF JMP ntdll.7C95784F\r\n7C96EA85 57 PUSH EDI 。。。右鍵-->斷點(diǎn)-->運(yùn)行到所選！\r\n7C96EA86 FF75 F0 PUSH DWORD PTR SS:[EBP-10]\r\n＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋\r\n7C957852 8D45 EC LEA EAX,DWORD PTR SS:[EBP-14]\r\n7C957855 50 PUSH EAX\r\n7C957856 FF75 0C PUSH DWORD PTR SS:[EBP+C]\r\n7C957859 53 PUSH EBX\r\n7C95785A 56 PUSH ESI\r\n7C95785B E8 F3BEFCFF CALL ntdll.7C923753\r\n7C957860 F605 5AC3997C 8>TEST BYTE PTR DS:[7C99C35A],80\r\n7C957867 8BF8 MOV EDI,EAX\r\n7C957869 0F85 16720100 JNZ ntdll.7C96EA85 \r\n7C95786F 395D 08 CMP DWORD PTR SS:[EBP+8],EBX\r\n7C957872 0F84 1B720100 JE ntdll.7C96EA93\r\n7C957878 8BC7 MOV EAX,EDI\r\n7C95787A 33C9 XOR ECX,ECX\r\n7C95787C 2BC1 SUB EAX,ECX\r\n7C95787E ^ 0F85 8631FFFF JNZ ntdll.7C94AA0A\r\n7C957884 F646 04 01 TEST BYTE PTR DS:[ESI+4],1\r\n7C957888 0F85 4F720100 JNZ ntdll.7C96EADD \r\n7C95788E C645 FF 01 MOV BYTE PTR SS:[EBP-1],1\r\n7C957892 5F POP EDI\r\n7C957893 5B POP EBX\r\n7C957894 8A45 FF MOV AL,BYTE PTR SS:[EBP-1]\r\n7C957897 5E POP ESI\r\n7C957898 C9 LEAVE\r\n7C957899 C2 0800 RETN 8 .............單步來到這里。再單步跳進(jìn)。一直單步來到下面。\r\n＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋\r\n00631B9B 53 PUSH EBX\r\n00631B9C 51 PUSH ECX\r\n00631B9D 57 PUSH EDI\r\n00631B9E 56 PUSH ESI\r\n00631B9F 52 PUSH EDX\r\n00631BA0 8D98 57120010 LEA EBX,DWORD PTR DS:[EAX+10001257] 。。。F8到這時(shí),觀察ESP.\r\n00631BA6 8B53 18 MOV EDX,DWORD PTR DS:[EBX+18]\r\n＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋\r\nEAX F06308ED\r\nECX 0012FFB0\r\nEDX 7C92EB94 ntdll.KiFastSystemCallRet\r\nEBX 7FFD9000\r\nESP 0012FFAC ........ESP紅了，下命令點(diǎn)斷： dd 12ffac\r\nEBP 0012FFF0\r\nESI FFFFFFFF\r\nEDI 7C930738 ntdll.7C930738\r\nEIP 00631BA0 JYtmw.00631BA0\r\nC 0 ES 0023 32位 0(FFFFFFFF)\r\nP 0 CS 001B 32位 0(FFFFFFFF)\r\nA 0 SS 0023 32位 0(FFFFFFFF)\r\nZ 0 DS 0023 32位 0(FFFFFFFF)\r\nS 0 FS 003B 32位 7FFDF000(FFF)\r\nT 0 GS 0000 NULL\r\nD 0\r\nO 0 LastErr ERROR_CLASS_ALREADY_EXISTS (00000582)\r\nEFL 00000202 (NO,NB,NE,A,NS,PO,GE,G)\r\nST0 empty -UNORM BBB0 01050104 00000000\r\nST1 empty 0.0\r\nST2 empty 0.0\r\nST3 empty 0.0\r\nST4 empty 0.0\r\nST5 empty 0.0\r\nST6 empty 1.0000000000000000000\r\nST7 empty 1.0000000000000000000\r\n3 2 1 0 E S P U O Z D I\r\nFST 4020 Cond 1 0 0 0 Err 0 0 1 0 0 0 0 0 (EQ)\r\nFCW 027F Prec NEAR,53 掩碼 1 1 1 1 1 1\r\n++++++++++++++++++++++++++++++++++++++++++++++++++++\r\n在OD中下命令斷點(diǎn)： dd 12ffac ， Enter鍵之后，我們在數(shù)據(jù)跟隨窗口中看到：\r\n0012FFAC 7C92EB94 ntdll.KiFastSystemCallRet 。。。右鍵--斷點(diǎn)-硬件訪問--雙字。\r\n\r\n0012FFB0 FFFFFFFF\r\n0012FFB4 7C930738 ntdll.7C930738\r\n＋＋＋＋＋＋＋＋＋＋＋點(diǎn)OD的運(yùn)行按鈕程序被斷在這里：\r\n00631C25 5E POP ESI ; JYtmw.005839E0\r\n00631C26 5F POP EDI\r\n00631C27 59 POP ECX\r\n00631C28 5B POP EBX\r\n00631C29 5D POP EBP\r\n00631C2A FFE0 JMP EAX 。。。F8單步來這。再F8進(jìn)去看到光明！\r\n00631C2C E0 39 LOOPDNE SHORT JYtmw.00631C67\r\n\r\n＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋\r\n005839E0 55 DB 55 ; CHAR \'U\' \r\n。。。。。右鍵---分析--從模塊中刪除分析\r\n005839E1 8B DB 8B\r\n005839E2 EC DB EC\r\n005839E3 83 DB 83\r\n005839E4 C4 DB C4\r\n005839E5 F0 DB F0\r\n005839E6 B8 DB B8\r\n005839E7 40 DB 40 ; CHAR \'@\'\r\n005839E8 16 DB 16\r\n＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋\r\n005839E0 55 PUSH EBP 。。。。。。。。很熟悉吧！右鍵--用Ollydump脫殼--保存。\r\n005839E1 8BEC MOV EBP,ESP\r\n005839E3 83C4 F0 ADD ESP,-10\r\n005839E6 B8 40165800 MOV EAX,JYtmw.00581640\r\n005839EB E8 A43DE8FF CALL JYtmw.00407794\r\n005839F0 68 783A5800 PUSH JYtmw.00583A78\r\n005839F5 68 8C3A5800 PUSH JYtmw.00583A8C ; ASCII \"TApplication\"\r\n005839FA E8 5547E8FF CALL JYtmw.00408154 ; JMP 到 USER32.FindWindowA\r\n＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋\r\n1839E0\r\n\r\n試運(yùn)行脫殼后的程序，正常！查殼得：Borland Delphi 6.0 - 7.0\r\n\r\n至此，脫殼完成！謝謝觀看。