PECompact2.x壳脱壳教程：半仙算命程序实战

"这篇资源是一篇关于如何对名为'半仙算命主程序'的软件进行脱壳操作的详细教程，主要介绍了两种方法，全程配有图文说明。文章中提到的壳是'PECompact 2.x - Jeremy Collake'，这是一种相对复杂的壳，需要通过手动单步跟踪和理解源码来解决。作者在学习过程中遇到了因‘异常’设置问题导致的跟踪困难，但最终解决了这个问题。" 在计算机安全领域，程序脱壳是逆向工程的重要技术之一，用于分析和理解加壳软件的原始功能。本文详细记录了对'半仙算命主程序'进行脱壳的全过程，主要包括以下知识点： 1. **PECompact壳**：PECompact是一款常见的PE文件压缩壳，由Jeremy Collake开发，其目的是为了减小程序体积，但同时也增加了逆向分析的难度。 2. **手动单步跟踪**：逆向工程师常用的一种技术，通过调试器如OllyDbg (OD)逐指令执行程序，以理解其内部工作原理。在本例中，作者遇到困难，可能是因为PECompact壳的复杂性导致跟踪时容易丢失或混淆。 3. **ESP定律**：在x86汇编语言中，ESP寄存器用于存储堆栈指针，通过ESP定律，可以追踪函数调用时栈的变化，从而找到程序的入口点（OEP，Original Entry Point）。 4. **硬件访问断点**：在调试器中，硬件访问断点允许在特定内存位置发生读写操作时暂停程序执行，帮助定位关键代码。 5. **异常设置**：调试过程中，异常处理设置不当可能导致跟踪失败。作者发现调整调试选项中的“异常”设置后，手动单步跟踪得以顺利进行。 6. **Memory Map与CODE区**：在调试器中查看Memory Map可以帮助找到程序的代码区域（CODE），在该区域设置断点可以帮助找到OEP。 7. **跳转出口与OEP**：在程序中，找到类似"C3 RETN"的指令表示函数返回，而"JMPE AX"等跳转指令可能指示着OEP的入口。通过多次ESP定律应用，作者成功找到了OEP。 8. **DUMP存盘操作**：脱壳完成后，通常会将处理过的程序保存为新的文件，以便后续分析或使用。 9. **修复输入表**：脱壳后的程序可能无法正常运行，因为壳可能修改了程序的导入表，需要修复以确保程序功能完整。 10. **优化减肥**：脱壳后的程序可能含有壳的残留信息，通过进一步优化可以减少不必要的代码，使程序更精简。 以上就是对半仙算命主程序脱壳过程涉及的技术点的详细解析，这个过程不仅展示了逆向分析的技巧，也强调了扎实的基础知识和耐心调试的重要性。对于想要学习逆向工程和程序分析的人来说，这是一个很好的实践案例。