一个股票软件主程序的脱壳,大致分成三个步骤:
一.侦测文件 看一看文件是什么语言编写,是否加壳,加何种壳? 广泛使用的是PEiD V0.94,只要增添插件就可以侦测更多的加壳软件。 一般下载: 一蓑烟雨2008新春优化版/看雪学院全插件版
二.程序脱壳 1.自动脱壳
a.脱壳机脱壳 选择相应的专用脱壳机脱壳,选择通用脱壳机脱壳。 一般下载: 超级巡警虚拟机自动脱壳机 V1.5 Misswe/kafan专版 Quick_Unpack_v2.0final_by_aiflyer abstersiver ASPack 脱壳机
b.脚本脱壳 如果通用/专用脱壳机不能对付,我们就有请大侠们经常用的屠龙刀------ollyDBG! OllyDbg是目前最好的程序级调试器。最大的特色之一就是它的插件体系,这是使得用户能够更为有效的扩展它的功能。通过大侠们编写的选择相应的脱壳脚本,来控制OllyDbg自动运行脱壳。
2.手动脱壳 a.用ollyDBG寻找OEP
b.用LordPE Deluxe来DUMP程序
c.用Import REConstructor修复输入表
这一部分就很复杂,请参考相应的专门网站的文章!!!
一般下载: ollyDBG V1.10 --聆风听雨汉化第三版/OllyDbg.V1.10聆风听雨汉化第二版+XP界面flyODBG修改版+诸多插件
LordPE Deluxe V1.4--cao_cong汉化增强版
Import REConstructor V1.7 --心海伽蓝汉化版 Import REC插件
三.规范优化 由于很多加壳程序将部分资源(如 Icon、Version Information) 从资源节 (resource section) 移到了壳增加的节里,这导致很多资源工具不能正确识别分布非标准资源(Resource)数据。脱壳后对PE文件资源的标准化修复,使资源工具对修复后的资源进行查看、编辑。 一般下载: DT_FixRes_Demo_by_ dREAMtHEATER汉化版
另外,下面的两类工具最好也各准备一个,也是经常使用的!
PE资源修改器 eXeScope_6.50_SC 烈火汉化版 ResScope-v1.96 reshacker V3.5中文版
十六进制修改工具: Hiew 7.21汉化版 UltraEdit-32 v14.00b 简体中文注册版 WinHex v14.1 SR-2_烈火汉化绿色版 Hex Workshop V4.23 汉化破解版
注意:上面的工具,大多数杀毒软件是要报告有病毒的,请考虑清楚后,到专门的网站下载!因此而产生的问题,本人概不负责!!
通用脱壳机脱壳 以【同花顺战略家】为例:
一.侦测文件
二.自动脱壳
三.规范优化
|
本文来自:创幻论坛 http:/
脚本脱壳法
以【qqliuxingyu提供的年费38000麒麟至尊王说明并发布最完美版】为例: 一.侦测文件 PEiD V0.94查看是:ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov
二.程序脱壳 打开ollyDBG运行麒麟短线王至尊版.exe 插件项下面选择脱壳脚本 运行脱壳脚本Aspr2.XX_unpacker_v1.0SC.osc后,DUMP程序---de_麒麟短线王至尊版.exe 修复输入表,保存修复后的u_麒麟短线王至尊版.exe
三.规范优化 用DT_FixRes_Demo修复资源
可以看见麒麟短线王至尊版是战略家的内核
|