需要下載教程中工具請到:http://longdiy.myetang.com/ 或
http://go8.163.com/~panlong/
<脫殼通輯令>之一
〖1〗 -------脫掉由PCG加密過軟體的殼
脫殼物件:PC Guard for Win32 3.04D2
主頁地址: http://www.pc-guard.co.yu
說明:加密軟體,下簡稱PCG
脫殼需要工具:TRW2000 1.23,PEditor 1.7,RES,BlW2000 0.2
1. 執行Blw,按Track,執行PCG,得到脫殼入口點:00411250,
然後退出BW2000和Exescope
2. 執行TRW2000,裝入PCG,入到TRW除錯介面後下命令e eip 0
3. 在TRW2000中下命令 g 00411250 (在TRW中去到PCG加殼入口點)
4. 在TRW2000中下命令 makepe (TRW會在PCG目錄下產生個脫殼檔案Newpe.exe)
5. 按X退出TRW2000
6. 執行RES,用RES開啟Newpe.exe,接著按工具中的建置相容資源.確定後退出.
7. 執行PEditor 1.7,按瀏覽開啟Newpe.exe,接著按Rebuilder.
8. 進入重建畫面後選擇realign file和其中的normal,再選擇
rebuild Improt Table和其中的rebuild new Improt Table,
最後選擇make PE header win nt/2k compatible
9. 按 DO 重建引入.確定後退出.
完成,收工.
〖2〗 --------脫掉由UPX 0.XX-Upx 1.0x壓縮過軟體的殼
脫殼物件:CodeFusion Wizard Version 3.0
主頁地址:http://come.to/kobik
說明:補丁製作軟體,它已補UPX 0.72壓縮,下稱CFW
脫殼需要工具:FS,RES
1. fs -u cfg.exe
2. fs -rn -spl cfg.exe
3. 執行RES ,開啟cfg.exe,接著按工具中的建置相容資源.確定後退出.
脫殼完成,收工.(譁!這麼簡單?是哦!就這麼簡單,不信,你試唄)
〖3〗 --------脫掉由PECompact 1.xx壓縮過軟體的殼
脫殼物件:PECompact 1.43
主頁地址:http://www.collakesoftware.com
說明:壓縮軟體,下簡稱PEC
脫殼需要工具:fs,PEditor 1.7,RES 3.0
1. fs -u pec.exe
2. fs -rn -spl PEC.exe
3. 執行RES ,開啟PEC.exe,接著按工具中的建置相容資源.確定後退出.
4. 執行PEditor 1.7,按瀏覽開啟PEC.exe,接著按Rebuilder.
5. 進入重建畫面後選擇realign file和其中的normal,再選擇
rebuild Improt Table和其中的rebuild new Improt Table,
最後選擇make PE header win nt/2k compatible
9. 按 DO 重建引入.退出收工
脫殼完成,收工.
〖4〗 --------脫掉由Telock 0.71壓縮過軟體的殼
脫殼物件: 用Telock 0.71壓縮exescope.exe
說明: telock壓縮選項(防softice檢測,重整
覆蓋和reloc區段和ITA重定位)
脫殼需要工具:TRW2000,Procdump,RES,BlW2000 0.2
脫殼過程:
1. 執行Bw2000.exe,單擊BW2000中的Track, (用衝擊波檢測加殼入口點)
然後執行 Exescope.exe, 得到加殼入口
點004b1ec4,退出BW2000和Exescope
2. 執行trw2000,然後裝入Exescope.exe
3. 在TRW2000中下命令 g 004b1ec4 (去到加殼入口點)
4. 在TRW2000中下命令 suspend
5. 回到系統介面後執行Procdump.exe (用Procdump進行去殼)
6. 跟住點選Procdump上視窗中Exescope.exe
7. 接著游標放到下視窗中的EXEscope.exe,
然後按滑鼠右鍵,選擇Dump (Full),然後
儲存脫殼檔案,單擊確定後退出.
8. 執行RES裝入剛由Procdump脫殼後儲存的檔案, (用RES重整資源結構)
然後選擇工具中的壓縮讀出,讀出完成後,再選
擇工具中的重建相容資源.
9. 完成後,當然是收工啦!!!
〖5〗 --------脫掉由Aspack 2.11D壓縮過軟體的殼
脫殼物件: 用Aspack 2.11D壓縮exescope.exe
說 明: 是用Aspack 2.11D未註冊版壓縮的
脫殼過程:
方法一 (脫殼需要工具:Procdump,RES)
1. 執行Bw2000.exe,單擊BW2000中的Track,
然後執行 Exescope.exe, 得到加殼入口
點004b1ec4,退出BW2000和Exescope (用衝擊波檢測加殼入口點)
2. 執行trw2000,然後裝入Exescope.exe
3. 在TRW2000中下命令 g 004b1ec4 (去到加殼入口點)
4. 待去到加殼入口點後,下命令 suspend
5 待回到系統介面後,執行Procdump.exe
(用Procdump進行去殼)
6. 跟住點選Procdump上視窗中Exescope.exe
7. 接著游標放到下視窗中的EXEscope.exe, (方法⑴)
然後按滑鼠右鍵,選擇Dump (Full),接著
儲存脫殼檔案,單擊確定後退出.
******** 或 *********************
游標對住上視窗中的EXEscope.exe後, (方法⑵)
然後按滑鼠右鍵,選擇Dump (Full),接著 (脫殼試哪個脫殼檔案可在
儲存脫殼檔案,單擊確定後退出.
WIN2000和ME/98下可執行)
完成後,當然是收工啦!!!
方法二 (脫殼需要工具:TRW2000 1.23)
1. 執行Bw2000.exe,單擊BW2000中的Track,
然後執行 Exescope.exe, 得到加殼入口
點004b1ec4,退出BW2000和Exescope (用衝擊波檢測加殼入口點)
2. 執行trw2000,然後裝入Exescope.exe
3. 在TRW2000中下命令 g 004b1ec4 (去到加殼入口點)
4. 在TRW2000中下命令 makepe (TRW會在PCG目錄下產生個脫殼檔案Newpe.exe)
完成,收工
以上脫殼後的軟體均可在win98/nt/win2000平臺下執行.
軟體脫殼通輯令中的脫殼均利用工具進行脫殼.