部份軟體的脫殼(Upx 0.72-1.0x,PC Guard,Telock,PECompact) (4千字)

看雪資料發表於2001-02-02

需要下載教程中工具請到:http://longdiy.myetang.com/    或
                        http://go8.163.com/~panlong/
    <脫殼通輯令>之一
〖1〗    -------脫掉由PCG加密過軟體的殼
脫殼物件:PC Guard for Win32 3.04D2
主頁地址: http://www.pc-guard.co.yu
說明:加密軟體,下簡稱PCG
脫殼需要工具:TRW2000 1.23,PEditor 1.7,RES,BlW2000 0.2
1. 執行Blw,按Track,執行PCG,得到脫殼入口點:00411250,
  然後退出BW2000和Exescope
2. 執行TRW2000,裝入PCG,入到TRW除錯介面後下命令e eip 0
3. 在TRW2000中下命令 g 00411250    (在TRW中去到PCG加殼入口點)
4. 在TRW2000中下命令 makepe      (TRW會在PCG目錄下產生個脫殼檔案Newpe.exe)
5. 按X退出TRW2000
6. 執行RES,用RES開啟Newpe.exe,接著按工具中的建置相容資源.確定後退出.
7. 執行PEditor 1.7,按瀏覽開啟Newpe.exe,接著按Rebuilder.
8. 進入重建畫面後選擇realign file和其中的normal,再選擇
  rebuild Improt Table和其中的rebuild new Improt Table,
  最後選擇make PE header win nt/2k compatible
9. 按 DO 重建引入.確定後退出.
        完成,收工.

〖2〗  --------脫掉由UPX 0.XX-Upx 1.0x壓縮過軟體的殼
脫殼物件:CodeFusion Wizard Version 3.0
主頁地址:http://come.to/kobik
說明:補丁製作軟體,它已補UPX 0.72壓縮,下稱CFW

脫殼需要工具:FS,RES
1. fs -u cfg.exe
2. fs -rn -spl cfg.exe
3. 執行RES ,開啟cfg.exe,接著按工具中的建置相容資源.確定後退出.
脫殼完成,收工.(譁!這麼簡單?是哦!就這麼簡單,不信,你試唄)

〖3〗  --------脫掉由PECompact 1.xx壓縮過軟體的殼
脫殼物件:PECompact 1.43
主頁地址:http://www.collakesoftware.com
說明:壓縮軟體,下簡稱PEC
脫殼需要工具:fs,PEditor 1.7,RES 3.0
1. fs -u pec.exe
2. fs -rn -spl PEC.exe
3. 執行RES ,開啟PEC.exe,接著按工具中的建置相容資源.確定後退出.
4. 執行PEditor 1.7,按瀏覽開啟PEC.exe,接著按Rebuilder.
5. 進入重建畫面後選擇realign file和其中的normal,再選擇
  rebuild Improt Table和其中的rebuild new Improt Table,
  最後選擇make PE header win nt/2k compatible
9. 按 DO 重建引入.退出收工
          脫殼完成,收工.

〖4〗  --------脫掉由Telock 0.71壓縮過軟體的殼
脫殼物件: 用Telock 0.71壓縮exescope.exe
說明: telock壓縮選項(防softice檢測,重整
      覆蓋和reloc區段和ITA重定位)
脫殼需要工具:TRW2000,Procdump,RES,BlW2000 0.2
脫殼過程:
1. 執行Bw2000.exe,單擊BW2000中的Track,  (用衝擊波檢測加殼入口點)
  然後執行 Exescope.exe, 得到加殼入口
  點004b1ec4,退出BW2000和Exescope       
2. 執行trw2000,然後裝入Exescope.exe       
3. 在TRW2000中下命令 g 004b1ec4          (去到加殼入口點)
4. 在TRW2000中下命令 suspend             
5. 回到系統介面後執行Procdump.exe        (用Procdump進行去殼)
6. 跟住點選Procdump上視窗中Exescope.exe
7. 接著游標放到下視窗中的EXEscope.exe,
  然後按滑鼠右鍵,選擇Dump (Full),然後
  儲存脫殼檔案,單擊確定後退出.
8. 執行RES裝入剛由Procdump脫殼後儲存的檔案,    (用RES重整資源結構)
  然後選擇工具中的壓縮讀出,讀出完成後,再選
  擇工具中的重建相容資源.
9. 完成後,當然是收工啦!!!

〖5〗  --------脫掉由Aspack 2.11D壓縮過軟體的殼
脫殼物件: 用Aspack 2.11D壓縮exescope.exe
說  明: 是用Aspack 2.11D未註冊版壓縮的
脫殼過程:
方法一  (脫殼需要工具:Procdump,RES)
1. 執行Bw2000.exe,單擊BW2000中的Track,
  然後執行 Exescope.exe, 得到加殼入口
  點004b1ec4,退出BW2000和Exescope  (用衝擊波檢測加殼入口點)
2. 執行trw2000,然後裝入Exescope.exe       
3. 在TRW2000中下命令 g 004b1ec4      (去到加殼入口點)
4. 待去到加殼入口點後,下命令 suspend
5  待回到系統介面後,執行Procdump.exe              (用Procdump進行去殼)
6. 跟住點選Procdump上視窗中Exescope.exe
7. 接著游標放到下視窗中的EXEscope.exe,        (方法⑴)
  然後按滑鼠右鍵,選擇Dump (Full),接著
  儲存脫殼檔案,單擊確定後退出.
    ******** 或 *********************
  游標對住上視窗中的EXEscope.exe後,          (方法⑵)
  然後按滑鼠右鍵,選擇Dump (Full),接著      (脫殼試哪個脫殼檔案可在
  儲存脫殼檔案,單擊確定後退出.                WIN2000和ME/98下可執行)
完成後,當然是收工啦!!!

方法二 (脫殼需要工具:TRW2000 1.23)
1. 執行Bw2000.exe,單擊BW2000中的Track,
  然後執行 Exescope.exe, 得到加殼入口
  點004b1ec4,退出BW2000和Exescope  (用衝擊波檢測加殼入口點)
2. 執行trw2000,然後裝入Exescope.exe       
3. 在TRW2000中下命令 g 004b1ec4      (去到加殼入口點)
4. 在TRW2000中下命令 makepe          (TRW會在PCG目錄下產生個脫殼檔案Newpe.exe)
      完成,收工
             
以上脫殼後的軟體均可在win98/nt/win2000平臺下執行.
軟體脫殼通輯令中的脫殼均利用工具進行脫殼.

相關文章