用dnspy去除PECompact 2.x -> Jeremy Collake [Overlay]
PECompact 2.x-> Jeremy Collake 顽固强壳-吾爱汇编论坛-防破解,反调试,反汇编,软件安全,逆向分析-52hb.comhttps://www.52hb.com/thread-58109-1-1.html
先载入OD并运行,点E,发现调用了系统NET模块
既然是NET的,我们就用dnspy,大部分的壳都可以直接dump出来的,打开dnspy,选择附加
然后找到刚才打开的程序进程,点附加
很明显,这个unknown就是,其它的都是系统模块
在这个模块上右键,选择保存模块,在保存选项里选择保存路径,随便写个文件名都行
测试下能正常打开,查壳已显示无壳了,说明已去除了PECompact 的保护,载入dnspy也能正常显示代码,至此,dump工作结束
当然,也可以使用工具dump,这里只是分享一种思路
感谢老师!感谢! 这也行啊,无视加壳直接提取 谢谢分享! 感谢分享,不错的教程 这个方法学到了,感谢分享! 谢谢分享!!! 楼主威武!!!!!! 学习了,感谢分享 谢谢分享经验,搞壳确实挺难的
页:
[1]
2