MPRESS v2.12脱壳分析

零五零八

    平时喜欢下棋，发现某某名手软件感觉挺好用的样子，想学习一下用什么软件开发的，用ExeInfo PE 查看一下，发现是MPRESS v2.12^ -> [ v2.19 ] - MATCODE comPRESSor for executables (C) 2007,2010, MATCODE Software - ，这个壳的，好像之前没有接触过，查了一下网上，已经有前辈脱过了，自己走一遍吧，记录一下过程。



虚拟机运行看看，哇塞，不让运行




没有办法，照样脱。

OD载入：



下断点 BP VirtualProtectEx ，  Shift+F9 二次，因为 三次就跑飞了，Alt+F9一次，达到004B883F,看到了  GetModuleHandelA 函数了，



继续，往下看找到了 popad了，哇塞，运气太好了，直接下断点 004B889A，按F9，F8 2次进到入口，
OEP 00492846



OEP： OEP 00492846



赶快DUMP下来，接下了就说常规操作，







FIX DUMP，运行OK了。


原来是 Microsoft Visual C++ ver. 7.1 EXE  (3 bytes sign - easy to fake) 这个写的。


接下来继续分析代码，等待后续。