网站 › 『=悬赏求助=』 › PECompact 2.x -> Jeremy Collake [Overlay] 顽固强壳

学编程我不配 发表于 2023-3-5 13:33

PECompact 2.x -> Jeremy Collake [Overlay] 顽固强壳

本帖最后由 学编程我不配 于 2023-3-7 11:32 编辑

PECompact 2.x -> Jeremy Collake 顽固强壳
在b站 各大技术贴学习2个月之久 用尽了各种方法 小弟不才硬是拿捏不下
希望吾爱大佬能将其脱掉或者讲一下脱壳方法
                                                         
HB不多 全给了大佬救命

感谢大佬耐心指导：byh3025





载入点



esp断点运行




运行后跳到这里




F8单步走到第一个小跳




第二个jpm





大跳转过来位置不会了




文件

https://wwqr.lanzouw.com/i3ovj0paa56h


路过的朋友麻烦顶一下谢谢！！！





补充：
接上边继续esp下断 运行 F8单步走经过两个小jpm 一个大jmp跳到这里 地址和载入点很像
用其他方法这地址来过很多次但就是脱壳后体积变小程序无法在运行





先用od自带插件脱壳保存 2个 一个重建输入表一个不重建
   再用lordPE纠正镜像大小 在完整脱壳
再用Import REC 修复转存 几种结果下来程序都无法运行而且体积明显变小 哪一步不对 请各位老师指正

byh3025 发表于 2023-3-5 13:33

学编程我不配 发表于 2023-3-6 14:12
求老师指正
我最先就是这样去操作的 但是出来程序就不能运行

教程已出
用dnspy去除PECompact 2.x -> Jeremy Collake
https://www.52hb.com/thread-58115-1-1.html
(出处: 吾爱汇编论坛)

aa289299 发表于 2023-3-5 13:47

确定是壳？

StarrySky 发表于 2023-3-5 14:24

本帖最后由 StarrySky 于 2023-3-5 14:26 编辑

请添加你的分析思路没有分析思路就是求破我会直接删帖

boot 发表于 2023-3-5 14:27

这个可以免脱壳，壳内直接Patch。

学编程我不配 发表于 2023-3-5 14:32

StarrySky 发表于 2023-3-5 14:24
请添加你的分析思路没有分析思路就是求破我会直接删帖

好的！······

学编程我不配 发表于 2023-3-5 14:55

StarrySky 发表于 2023-3-5 14:24
请添加你的分析思路没有分析思路就是求破我会直接删帖

大佬看一下

学编程我不配 发表于 2023-3-5 15:02

boot 发表于 2023-3-5 14:27
这个可以免脱壳，壳内直接Patch。

可以详细点吗 非常谢谢

学编程我不配 发表于 2023-3-5 15:09

aa289299 发表于 2023-3-5 13:47
确定是壳？

这是压缩壳呀

boot 发表于 2023-3-5 16:54

加壳者别有用心，一张图，看了就知道怎么脱了。

查看完整版本: PECompact 2.x -> Jeremy Collake [Overlay] 顽固强壳