脫殼----對用pklite32加殼的程式進行手動脫殼
目標檔案: pklite32w.exe
加殼方式: pklite32
所用工具: trw2000 v1.22
作者: iis / 屬於夢醒時分[http://hacking.wofly.com]
1.用trw2000的Loader載入加殼程式。
2.按一下f10,將停在下面的地方,
0167:00607005 PUSH DWORD 00627F84 《――停在這裡,一直按f10
0167:0060700A PUSH DWORD 00
0167:0060700F CALL 00627F84
0167:00607014 JMP 004117B0 《――執行完這個指令,執行命令makepe
檔名
0167:00607019 INC EAX
0167:0060701A SUB [EBX],AH
3.脫殼成功。
脫殼----對用Shrinker 3.4加殼的程式進行手動脫殼
加殼方式: Shrinker 3.4
所用工具: trw2000 v1.22
作者: iis / 屬於夢醒時分[http://hacking.wofly.com]
1.用trw2000的Loader載入加殼程式。
2.按一下f10,將停在下面的地方,
0167:004365AF PUSH EBP 《――停在這裡
0167:004365B0 MOV EBP,ESP
0167:004365B2 PUSH ESI
0167:004365B3 PUSH EDI
0167:004365B4 JNZ 00436621
0167:004365B6 PUSH DWORD 0100
0167:004365BB CALL 004370D1
3.一直按f10,
0167:00436619 CALL `KERNEL32!GetModuleFileNameA`
0167:0043661F JMP SHORT 00436624
0167:00436621 MOV ESI,[EBP+08]
0167:00436624 CALL 00435000
0167:00436629 PUSH DWORD [EBP+10]
0167:0043662C PUSH DWORD [EBP+0C]
0167:0043662F PUSH ESI
0167:00436630 CALL 0043663B 《――按f8進入
0167:00436635 POP EDI
0167:00436636 POP ESI
0167:00436637 POP EBP
0167:00436638 RET 0C
4.再按f10到達下面的地方,
0167:0043667C INC DWORD [004311C0]
0167:00436682 CALL 00435CB2 《――此處將彈出一個訊息框,按‘是‘將返回tr
w2000.
0167:00436687 MOV ESI,[004311C0]
0167:0043668D TEST ESI,ESI
0167:0043668F JZ 004366FF
0167:00436691 CMP DWORD [004311C4],BYTE +00
0167:00436698 JNZ 004366C0
0167:0043669A CMP DWORD [00433774],BYTE +00
0167:004366A1 JZ 004366C0
0167:004366A3 MOV EAX,[00433774]
0167:004366A8 ADD EAX,[00433898]
0167:004366AE MOV [EBP-20],EAX
0167:004366B1 PUSH DWORD [EBP+10]
0167:004366B4 PUSH DWORD [EBP+0C]
0167:004366B7 PUSH DWORD [EBP+08]
0167:004366BA CALL NEAR [EBP-20] 《――按f8進入後,執行命令makepe
檔名
0167:004366BD MOV [EBP-1C],EAX
5.脫殼成功。
脫殼----對用NeoLite加殼的程式進行手動脫殼
目標檔案: NeoLite(2.0).exe
加殼方式: NeoLite
所用工具: trw2000 v1.22
作者: iis / 屬於夢醒時分[http://hacking.wofly.com]
1.用trw2000的Loader載入加殼程式。
2.將停在下面的地方,
0167:0041C1A8 JMP 0041C253 《――停在這裡
0167:0041C1AD MOV EAX,A80041DA
0167:0041C1B2 ROL BYTE [ECX+00],AC
0167:0041C1B6 ROL BYTE [ECX+00],00
0167:0041C1BA ADD [EAX],AL
0167:0041C1BC ADD [EAX+6A00004A],BH
0167:0041C1C2 RET 41
3.一直按f10,
0167:0041C262 INC BYTE [0041C252]
0167:0041C268 JMP EAX 《――跳到真正的入口點
0167:0041C26A CMP BYTE [0041C252],00
0167:0041C271 JNZ 0041C286
4.跳到下面地方,
0167:004073F3 PUSH EBP 《――跳到這,執行命令makepe
檔名
0167:004073F4 MOV EBP,ESP
0167:004073F6 PUSH BYTE -01
0167:004073F8 PUSH DWORD 0040D1A0
0167:004073FD PUSH DWORD 00409A3C
0167:00407402 MOV EAX,[FS:00]
0167:00407408 PUSH EAX
5.脫殼成功。