【脱壳作者】 农夫 

【脱壳工具】 Olldbg1.10 、Peid0.92、ImportREC1.6 

【脱壳平台】 win2000 sp4 

【软件名称】 绿鹰PC万能精灵3.76 

【下载页面】 http://www.onlinedown.net/soft/6396.htm 

【软件大小】 1198KB 

【开 发 商】 http://www.cnlvker.com 

【软件介绍】 这是一款集系统优化，病毒清理，黑客防御，OICQ娱乐于一体的综合软件。该软件将不同的功能分成不同的精灵管理， 
其功能涵盖了个人电脑用户日常需求，其中包括：清除各种流行木马及病毒的[守卫精灵]，实时监控木马进程及端口 － 功能判断， 
可杀未来木马；防止网站恶意修改及任意脚本病毒的[IE反修改精灵]；增强系统安全，优化系统配置的[WINDOWS精灵]；功能强劲的[OICQ辅助精灵]。 

【脱壳声明】 只供学习和交流，没有其他目的。失误之处敬请诸位大侠赐教！ 

【脱壳过程】 

    用PEid查看为PECompact 2.x 壳的 Jeremy Collake，目前对PECompact2.x的壳还没有专门的脱壳机， 
正好最近看了些脱壳教程，参照fly大侠的方法手动脱之。 


   用Ollydbg加载万能精灵主程序adam.exe,将OD设置为忽略所有的异常选项。 

进入OD后停在这： 

00435CD5 a> $ B8 44725A00   mov eax,adam.005A7244 
00435CDA > 50               push eax 
00435CDB . 64:FF35 00000000 push dword ptr fs:[0] 
00435CE2 . 64:8925 00000000 mov dword ptr fs:[0],esp 
00435CE9 . 33C0             xor eax,eax 
00435CEB . 8908             mov dword ptr ds:[eax],ecx 


下断：bp VirtualFree  

77E7E2D8 B8 E2E77755        mov eax,5577E7E2 
77E7E2DD 8BEC               mov ebp,esp 
77E7E2DF FF75 10            push dword ptr ss:[ebp+10] 
77E7E2E2 FF75 0C            push dword ptr ss:[ebp+C] 
77E7E2E5 FF75 08            push dword ptr ss:[ebp+8] 
77E7E2E8 6A FF              push -1 
77E7E2EA E8 04000000        call kernel32.VirtualFreeEx 
77E7E2EF 5D                 pop ebp 
77E7E2F0 C2 0C00            retn 0C 


中断后取消断点，按F8，经过两次retn后，返回005A72F1处： 

005A72EF FFD7               call edi 
005A72F1 8985 23120010      mov dword ptr ss:[ebp+10001223],eax    ; adam.<ModuleEntryPoint> 
005A72F7 8BF0               mov esi,eax 
005A72F9 59                 pop ecx 
005A72FA 5A                 pop edx 
005A72FB 03CA               add ecx,edx 
005A72FD 68 00800000        push 8000 
005A7302 6A 00              push 0 
005A7304 57                 push edi 
005A7305 FF11               call dword ptr ds:[ecx] 
005A7307 8BC6               mov eax,esi 
005A7309 5A                 pop edx 
005A730A 5E                 pop esi 
005A730B 5F                 pop edi 
005A730C 59                 pop ecx 
005A730D 5B                 pop ebx 
005A730E 5D                 pop ebp 
005A730F FFE0               jmp eax    <------------------------- ;这里就是飞向光明之巅的入口了！ 


按F8直接跳进去，到这里: 

00435CD5 a> $ 55            push ebp 
00435CD6 ? 8BEC             mov ebp,esp 
00435CD8 ? 6A FF            push -1 
00435CDA > 68 B8064600      push adam.004606B8 
00435CDF ? 68 50964300      push adam.00439650 
00435CE4 ? 64:A1 00000000   mov eax,dword ptr fs:[0] 
00435CEA ? 50               push eax 
00435CEB . 64:8925 00000000 mov dword ptr fs:[0],esp 
00435CF2 . 83EC 58          sub esp,58 


打开OD的插件OllyDump,Dump！保存为adam_.exe,但是Dump的文件还不能运行，提示无法定位程序入口点。 

还要使用ImportREC修复输入表： 

启动绿鹰PC万能精灵主程序，打开ImportREC，选取adam进程， 
按“自动搜索IAT”，OEP显示：00035CD5, RAV:0005AFFC, 大小:000006C8. 
按“获取输入表”，IAT信息载入成功! 
按“修复抓取文件”，选取adam_.exe，保存为adam__.exe。 
用PEid查看，显示为：Microsoft Visual C++ 6.0。 
运行adam__.exe，功能OK！ 
脱壳成功！ 

OVER

红旋风访客:
   1111111111111