您的位置:首页精文荟萃破解文章 → 关于pe-scan v3.0x的壳研究

关于pe-scan v3.0x的壳研究

时间:2004/10/15 0:50:00来源:本站整理作者:蓝点我要评论(0)

 

 


关于pe-scan v3.0x的壳研究


今天下载了最新版pe-scan v3.03版,感觉功能是强了不少,但是英文版的毕竟看了不爽,于是又想自己动手汉化了,要汉化就要先脱壳,但相信pe-scan的作者对壳的研究是很深的,所以写了这篇文章,如果有什么错误还请大家指正.

先看看它加了什么壳,用Fi,显示UPX + cryptor (⺁E);用PEiD,显示ASPack 2.1 -> Alexey Solodovnikov;用pe-scan自己,它也说是aspack2.1.
既然两个都说是aspack,用脱aspack的方法试试,用caspr,无效,用AspackDie 1.3g ,还是无效(竟然没有导入表),于是用自己写的UPX(S)通用脱壳脚本脱,还是无效,看来只有好好研究一下了.

用TRW载入,看上去真像ASPACK,也像UPXPR,个人感觉像Aspack多一点,莫非是变形壳?
0187:00496002 E872050000      CALL    00496579            //载入后停在这里
0187:00496007 EB33            JMP      SHORT 0049603C
0187:00496009 87DB            XCHG    EBX,EBX
0187:0049600B 90              NOP   
0187:0049600C 0000            ADD      [EAX],AL
0187:0049600E 0000            ADD      [EAX],AL
0187:00496010 0000            ADD      [EAX],AL
...
bpx getprocaddress
pmodule
...
就来到这里
0187:0049343A 09C0            OR      EAX,EAX                //停在这里
0187:0049343C 7407            JZ      00493445
0187:0049343E 8903            MOV      [EBX],EAX
0187:00493440 83C304          ADD      EBX,BYTE +04
0187:00493443 EBD8            JMP      SHORT 0049341D
0187:00493445 FF966C380900    CALL    NEAR [ESI+0009386C]
0187:0049344B 61              POPA   
0187:0049344C E98B90F7FF      JMP      0040C4DC            //这里就跳OEP了,下面都是ADD ...  要是有手工脱UPXS的经验就会发现它们真的很像.而aspack在这里应该是个ret
...
到了OEP,直接makepe,运行脱壳的程序
居然出错了?
"Windows无法运行该程序,因为它的格式无效."

于是打开程序的导入表,删除里面错误余的项,运行程序,这次其他都正常了,但是点击"关于"按钮,就非法操作,我倒~~~~~~,怎么和脱ASPR一样啊!.无奈下用freeres载入pe-scan重建资源,这次搞定了,但是重建资源后的pe-scan只有90多K,用makepe出来的却有600多k,我当然要探究竟了,原来,freeres只是释放了菜单和对话框这类的资源,pe-scan本身带有一个数据库,freeres并没有释放这个,但是makepe出来的文件却释放过了,所以makepe出来的程序很大.
就汉化来说用freeres释放资源后目的已经达到了,但是就脱壳来说还不行,于是继续努力.



先上网转转看看是否有高手搞定这个壳了,于是看到pe-scan3.00汉化版,是汉化新世纪的作品,真是感到很惊讶的,下载下来看,才知道这个汉化的脱壳是用UG2001的工具脱的,看来这篇文章还是有必要继续写下去了.
还是继续研究它的壳吧,于是换一种方式来脱
还是同样的OEP,试试pedump,哈哈,居然成功了,运行也没有错误了,哈哈,真想不到!真的是很简单啊!
其实在pe-scan里有两个地方可以直接pedump的(两个OEP?),一个是0040C4DC,还有一个是004932F2,大家都可以试试.


后记:不知道为什么在trw里,用makepe搞不定,用pedump却可以呢?谁可以告诉我,莫非是trw自作聪明偏要给原来的程序添加一个Section造成的.所以以后如果makepe不行,别忘了试试pedump啊,说不定还有奇效.其实pe-scan加了2层壳,第一层是比较像aspack但不是,因为他没有压缩功能,另外一层就是UPX Protector 1.0x了(当脱掉第一层的时候,文件大小反而小了,由46k变为41k),再脱UPX Protector 1.0x的壳文件就只有591k了,上面介绍的只是一个比较简单的方法,并没有详细研究.
本人才疏学浅,如果有什么疏漏和错误,还请各位高手指正



搞汉化还是太麻烦,各位要是感兴趣的话可以做3.03版的汉化,不要认为3.00和3.03一样,3.03前的3.0x版的shell功能都是无效的,3.03才修正了这个错误.

    
    
     
    
    
     

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 去除winrar注册框方法

最新文章 比特币病毒怎么破解 比去除winrar注册框方法 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)通过Access破解MSSQL获得数据

人气排行 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)qq相册密码破解方法去除winrar注册框方法(适应任何版本)怎么用手机破解收费游戏华为无线猫HG522破解如何给软件脱壳基础教程