手动脱PECompact

大家好，我是狗不理(lsq)，很多论坛ID都是：lsq

这个教程是个脱壳教程，结合前面我做的两个教程会很明白。

就是这个WIN98的记事本

1.       查壳

PECompact 1.68 - 1.84 -> Jeremy Collake

这是个有点麻烦的壳，有的CALL要用F7，而且要注意很多！大家集中精力看一下！

上来就JMP，我们往下，需要注意的地方我会打字

注意

0040C00A    E8 02000000     CALL 1.0040C011

0040C00F    33C0            XOR EAX,EAX

0040C011    8BC4            MOV EAX,ESP

这个CALL到的是下面的第二句，是个很近的CALL，不要用F8步过，那样会使程序运行，脱壳也就失败了，记得我在第一个教程UPX壳的时候一不小心就跑飞了。

0040D1A7   /EB 26           JMP SHORT 1.0040D1CF

这个JMP就任他去跳

0040D21D   /74 2E           JE SHORT 1.0040D24D

这个要万分注意，因为以后前条件不成立（灰色的）时候要跟随，一会再细讲，这个条件成立就跳

0040D251   /0F84 9B000000   JE 1.0040D2F2

这个条件不成立，但不能往下走，为什么呢？

这个JE跳到AND AL,5F这句，在这个跳转中间，

0040D2B0  ^EB 9B           JMP SHORT 1.0040D24D

这句是往回跳，如果在0040D251   /0F84 9B000000   JE 1.0040D2F2这句直接往下，到了这个JMP将不能在下面断点，程序跑飞，这是个经验，PECompact 1.68 - 1.84 -> Jeremy Collake这个壳见到JE、JE SHORT就要跟随！然后F2断，F9运行，再F2取消断点！

这样就行了

以后都是这样，不知道大家明白不，看我操作吗，手动脱壳虽然麻烦点，但毕竟信得过啊！

0040D27D    E8 B8090000     CALL 1.0040DC3A

比较运和CALL，不用F7步入

又来了，大家应该知道怎么办了吧

刚才下断点结束录像了

0040D54E    61              POPAD

多个跳转后来到了POPAD，快到OEP了

4010CC

大家眼熟吧！OK，脱壳吧

Microsoft Visual C++ 6.0 SPx Method 1

运行顺利，脱壳成功！