PESpin是一个Windows可执行文件的保护,压缩机用纯Win32ASM MASM的编码。它允许整个可执行文件压缩 -代码,数据和资源,使他们对修补和可执行文件和拆卸保护。
由于Antidump和Remove OEP的保护方式处理起来都比较简单,故同时加上这个保护方式:
对象依旧是98记事本。
OD载入后,F8单步2次后使用ESP定律,来到下面地方:
代码比较乱,我们来去除下花指令,方便我们看被抽取的代码:
去除完花指令后,代码就清晰多了。
接着F8走下去,就可以看见stolen code了
找到所有的stolen code,整理下,二进制代码为:
55 8B EC 83 EC 44 56 FF 15 E8 0E 41 00 8B F0 8A 00 3C 22
哈,还比较厚道,抽取的代码并不多,接着,下面的JMP就跳到foep去了。
来到OEP后,补上被抽取的代码,然后,在第一句新建EIP
接着,再用UIF处理下IAT
处理完后,dump程序,再用Import REC修复一下程序。
程序就可以正常运行了。
哈,脱壳就到此结束了。
简单总结下:
此2保护方式都非常简单,基本的步骤就是用ESP定律,然后找回所有的stolen code,接着来到foep处,补上所有的代码,然后用UIF修复下IAT,最后dump和修复就OK。至此,整个PESpin1.32的所有保护方式的讲解到此结束。
喜欢 
顶
难过
囧
围观
无聊
