PESpin教程学习笔记之Antidump及RemoveOEP的处理

PESpin是一个Windows可执行文件的保护，压缩机用纯Win32ASM MASM的编码。它允许整个可执行文件压缩 -代码，数据和资源，使他们对修补和可执行文件和拆卸保护。

PESpin(加壳exe压缩) v1.33 绿色中文版 评分:

5.0

类别： 加壳脱壳    大小：144KB    语言： 中文
查看详细信息 >>

 由于Antidump和Remove OEP的保护方式处理起来都比较简单，故同时加上这个保护方式：


对象依旧是98记事本。

OD载入后，F8单步2次后使用ESP定律，来到下面地方：


代码比较乱，我们来去除下花指令，方便我们看被抽取的代码：



去除完花指令后，代码就清晰多了。
接着F8走下去，就可以看见stolen code了

 

找到所有的stolen code,整理下，二进制代码为：
55 8B EC 83 EC 44 56 FF 15 E8 0E 41 00 8B F0 8A 00 3C 22
哈，还比较厚道，抽取的代码并不多，接着，下面的JMP就跳到foep去了。

 

来到OEP后，补上被抽取的代码，然后，在第一句新建EIP

 

接着，再用UIF处理下IAT

 

处理完后，dump程序，再用Import REC修复一下程序。
程序就可以正常运行了。

 

哈，脱壳就到此结束了。

简单总结下：
此2保护方式都非常简单，基本的步骤就是用ESP定律，然后找回所有的stolen code,接着来到foep处，补上所有的代码，然后用UIF修复下IAT，最后dump和修复就OK。至此，整个PESpin1.32的所有保护方式的讲解到此结束。