Ph4nt0m Security Team: [Tips]PECompact 2.x的脱壳点滴

2008年7月17日星期四

[Tips]PECompact 2.x的脱壳点滴

by void
2008-07-17
http://www.ph4nt0m.org

遇到一个程序加的是这个壳,Dump,修复IAT,不能运行.用Ollydbg跟踪到这里:

00406E00      68 68F04200   PUSH    42F068 ; ASCII "PEC2_IsPacked"
00406E05      6A FF         PUSH    -1
00406E07      FF15 AC504200 CALL    DWORD PTR [4250AC]
00406E0D      A3 08AF4400   MOV     DWORD PTR [44AF08],EAX

搜索"PEC2_IsPacked",找到PECompact的官方文档,原来是壳的API Hook插件在捣鬼,把MOV [44AF08],EAX改成MOV [44AF08],1.
保存修改.正常运行.

没有评论:

发表评论

Ph4nt0m Security Team

2008年7月17日星期四

[Tips]PECompact 2.x的脱壳点滴

没有评论:

Ph4nt0m

公告

订阅Ph4nt0m邮件列表

Tags

搜索

Archive

请问您更关注哪方面？

幻影成员blog

Ph4nt0m相关

Ph4nt0m Google Group

Ph4nt0m Planet(International)

Bugtraq

Full Disclosure

Milw0rm

-= CVE =-

CVE Analyzed

XSSed syndication

关于我们