JDPACK是可执行文件(.exe和.dll)压缩加壳程序,可加密压缩可执行文件的代码、数据、输入表、重定位表、资源段。通常压缩后的文件大小只有原来的50%-70%。
ESP落脚点,落脚点的下一行就是一个retn,经过实践证明,这就是跳向OEP的关键跳,F8让跳转实现
打开内存镜像,
内存镜像,项目 17
地址=00408000
大小=00006000 (24576.)
Owner=JDPACK 00400000
区段=.rsrc
包含=resources
类型=Imag 01001002
访问=R
初始访问=RWE
我们要找的就是.rsrc这段,F2,F9运行。
继续打开内存镜像
内存镜像,项目 15
地址=00401000
大小=00005000 (20480.)
Owner=JDPACK 00400000
区段=.text
包含=code
类型=Imag 01001002
访问=R
初始访问=RWE
我们要找的是.text这段了。F2,F9运行。
不影响程序的正常使用和所有功能,目的是保护文件不被跟踪分析,反汇编,脱壳等。