部份软件的脱壳(Upx 0.72-1.0x,PC Guard,Telock,PECompact) -pc6资讯

您的位置：首页 → 精文荟萃 → 破解文章 → 部份软件的脱壳(Upx 0.72-1.0x,PC Guard,Telock,PECompact)

部份软件的脱壳(Upx 0.72-1.0x,PC Guard,Telock,PECompact) 时间：2004/10/15 0:49:00来源：本站整理作者：蓝点我要评论(0): 　
需要下载教程中工具请到:http://longdiy.myetang.com/ 或
http://go8.163.com/~panlong/
<脱壳通辑令>之一
〖1〗 -------脱掉由PCG加密过软件的壳
脱壳对象:PC Guard for Win32 3.04D2
主页地址: http://www.pc-guard.co.yu
说明:加密软件,下简称PCG
脱壳需要工具:TRW2000 1.23,PEditor 1.7,RES,BlW2000 0.2
1. 运行Blw,按Track,运行PCG,得到脱壳入口点:00411250,
然后退出BW2000和Exescope
2. 运行TRW2000,装入PCG,入到TRW调试界面后下命令e eip 0
3. 在TRW2000中下命令 g 00411250 (在TRW中去到PCG加壳入口点)
4. 在TRW2000中下命令 makepe (TRW会在PCG目录下产生个脱壳文件Newpe.exe)
5. 按X退出TRW2000
6. 运行RES,用RES打开Newpe.exe,接着按工具中的建置相容资源.确定后退出.
7. 运行PEditor 1.7,按浏览打开Newpe.exe,接着按Rebuilder.
8. 进入重建画面后选择realign file和其中的normal,再选择
rebuild Improt Table和其中的rebuild new Improt Table,
最后选择make PE header win nt/2k compatible
9. 按 DO 重建引入.确定后退出.
完成,收工.

〖2〗 --------脱掉由UPX 0.XX-Upx 1.0x压缩过软件的壳
脱壳对象:CodeFusion Wizard Version 3.0
主页地址:http://come.to/kobik
说明:补丁制作软件,它已补UPX 0.72压缩,下称CFW

脱壳需要工具:FS,RES
1. fs -u cfg.exe
2. fs -rn -spl cfg.exe
3. 运行RES ,打开cfg.exe,接着按工具中的建置相容资源.确定后退出.
脱壳完成,收工.(哗!这么简单?是哦!就这么简单,不信,你试呗)

〖3〗 --------脱掉由PECompact 1.xx压缩过软件的壳
脱壳对象:PECompact 1.43
主页地址:http://www.collakesoftware.com
说明:压缩软件,下简称PEC
脱壳需要工具:fs,PEditor 1.7,RES 3.0
1. fs -u pec.exe
2. fs -rn -spl PEC.exe
3. 运行RES ,打开PEC.exe,接着按工具中的建置相容资源.确定后退出.
4. 运行PEditor 1.7,按浏览打开PEC.exe,接着按Rebuilder.
5. 进入重建画面后选择realign file和其中的normal,再选择
rebuild Improt Table和其中的rebuild new Improt Table,
最后选择make PE header win nt/2k compatible
9. 按 DO 重建引入.退出收工
脱壳完成,收工.

〖4〗 --------脱掉由Telock 0.71压缩过软件的壳
脱壳对象: 用Telock 0.71压缩exescope.exe
说明: telock压缩选项(防softice检测,重整
覆盖和reloc区段和ITA重定位)
脱壳需要工具:TRW2000,Procdump,RES,BlW2000 0.2
脱壳过程:
1. 运行Bw2000.exe,单击BW2000中的Track, (用冲击波检测加壳入口点)
然后运行 Exescope.exe, 得到加壳入口
点004b1ec4,退出BW2000和Exescope
2. 运行trw2000,然后装入Exescope.exe
3. 在TRW2000中下命令 g 004b1ec4 (去到加壳入口点)
4. 在TRW2000中下命令 suspend
5. 回到系统界面后运行Procdump.exe (用Procdump进行去壳)
6. 跟住点击Procdump上窗口中Exescope.exe
7. 接着光标放到下窗口中的EXEscope.exe,
然后按鼠标右键,选择Dump (Full),然后
保存脱壳文件,单击确定后退出.
8. 运行RES装入刚由Procdump脱壳后保存的文件, (用RES重整资源结构)
然后选择工具中的压缩读出,读出完成后,再选
择工具中的重建相容资源.
9. 完成后,当然是收工啦!!!

〖5〗 --------脱掉由Aspack 2.11D压缩过软件的壳
脱壳对象: 用Aspack 2.11D压缩exescope.exe
说明: 是用Aspack 2.11D未注册版压缩的
脱壳过程:
方法一 (脱壳需要工具:Procdump,RES)
1. 运行Bw2000.exe,单击BW2000中的Track,
然后运行 Exescope.exe, 得到加壳入口
点004b1ec4,退出BW2000和Exescope (用冲击波检测加壳入口点)
2. 运行trw2000,然后装入Exescope.exe
3. 在TRW2000中下命令 g 004b1ec4 (去到加壳入口点)
4. 待去到加壳入口点后,下命令 suspend
5 待回到系统界面后,运行Procdump.exe (用Procdump进行去壳)
6. 跟住点击Procdump上窗口中Exescope.exe
7. 接着光标放到下窗口中的EXEscope.exe, (方法⑴)
然后按鼠标右键,选择Dump (Full),接着
保存脱壳文件,单击确定后退出.
******** 或 *********************
光标对住上窗口中的EXEscope.exe后, (方法⑵)
然后按鼠标右键,选择Dump (Full),接着 (脱壳试哪个脱壳文件可在
保存脱壳文件,单击确定后退出. WIN2000和ME/98下可运行)
完成后,当然是收工啦!!!

方法二 (脱壳需要工具:TRW2000 1.23)
1. 运行Bw2000.exe,单击BW2000中的Track,
然后运行 Exescope.exe, 得到加壳入口
点004b1ec4,退出BW2000和Exescope (用冲击波检测加壳入口点)
2. 运行trw2000,然后装入Exescope.exe
3. 在TRW2000中下命令 g 004b1ec4 (去到加壳入口点)
4. 在TRW2000中下命令 makepe (TRW会在PCG目录下产生个脱壳文件Newpe.exe)
完成,收工

以上脱壳后的软件均可在win98/nt/win2000平台下运行.
软件脱壳通辑令中的脱壳均利用工具进行脱壳.

文章评论

查看所有0条评论>>

热门文章 去除winrar注册框方法