Make your own free website on Tripod.com

************************
<脫殼通緝令>之一輯
************************
教學中需工具下載:
    RES   PEditor增強版   BLW2000   FS  Procdump  TRW2000
注:文字或命令後面的括號和括號內的文字是左邊命令的說明或解釋
 ! 1】 -------脫掉由PCG加密過軟體的殼
   脫殼物件:PC Guard for Win32 3.04D2
   首頁地址: http://www.pc-guard.co.yu
   說明:加密軟體,下簡稱PCG
   脫殼需要工具:TRW2000 1.23,PEditor 1.7,RES,BlW2000 0.2
   1. 執行Blw,按Track,執行PCG,得到脫殼入口點:00411250,
      然後退出BW2000和Exescope
   2. 執行TRW2000,裝入PCG,入到TRW調試界面後下命令e eip 0
   3. 在TRW2000中下命令 g 00411250 (在TRW中去到PCG加殼入口點)
   4. 在TRW2000中下命令 makepe (TRW會在PCG目錄下產生個脫殼文件Newpe.exe)
   5. 按X退出TRW2000
   6. 執行RES,用RES開啟Newpe.exe,接著按工具中的建置相容資源.確定後退出.
   7. 執行PEditor 1.7,按瀏覽開啟Newpe.exe,接著按Rebuilder.
   8. 進入重建畫面後選擇realign file和其中的normal,再選擇
      rebuild Improt Table和其中的rebuild new Improt Table,
      最後選擇make PE header win nt/2k compatible
   9. 按 DO 重建引入.確定後退出.
          完成,收工.
 ! 2】 --------脫掉由UPX 0.XX-Upx 1.0x壓縮過軟體的殼
   脫殼物件:CodeFusion Wizard Version 3.0
   首頁地址:http://come.to/kobik
   說明:升級檔製作軟體,它已補UPX 0.72壓縮,下稱CFW
   脫殼需要工具:FS,RES
   1. fs -u cfg.exe
   2. fs -rn -spl cfg.exe
   3. 執行RES ,開啟cfg.exe,接著按工具中的建置相容資源.確定後退出.
      脫殼完成,收工.(嘩!這麼簡單?是哦!就這麼簡單,不信,您試看看)
 ! 3】 --------脫掉由PECompact 1.xx壓縮過軟體的殼
   脫殼物件:PECompact 1.43
   首頁地址:http://www.collakesoftware.com
   說明:壓縮軟體,下簡稱PEC
   脫殼需要工具:fs,PEditor 1.7,RES 
   1. fs -u pec.exe
   2. fs -rn -spl PEC.exe
   3. 執行RES ,開啟PEC.exe,接著按工具中的建置相容資源.確定後退出.
   4. 執行PEditor 1.7,按瀏覽開啟PEC.exe,接著按Rebuilder.
   5. 進入重建畫面後選擇realign file和其中的normal,再選擇
      rebuild Improt Table和其中的rebuild new Improt Table,
      最後選擇make PE header win nt/2k compatible
   9. 按 DO 重建引入.退出收工
       脫殼完成,收工.
 ! 4】 --------脫掉由Telock 0.71壓縮過軟體的殼
   脫殼物件: 用Telock 0.71壓縮exescope.exe
   說明: telock壓縮選項(防softice檢測,重整
   覆蓋和reloc區段和ITA重定位)
   脫殼需要工具:TRW2000,Procdump,RES,BlW2000 0.2
   脫殼過程:
   1. 執行Bw2000.exe,單擊BW2000中的Track, (用衝擊波檢測加殼入口點)
      然後執行 Exescope.exe, 得到加殼入口
      點004b1ec4,退出BW2000和Exescope 
   2. 執行trw2000,然後裝入Exescope.exe 
   3. 在TRW2000中下命令 g 004b1ec4 (去到加殼入口點)
   4. 在TRW2000中下命令 suspend 
   5. 回到系統界面後執行Procdump.exe (用Procdump進行去殼)
   6. 跟住點擊Procdump上視窗中Exescope.exe
   7. 接著游標放到下視窗中的EXEscope.exe,
      然後按鼠標右鍵,選擇Dump (Full),然後
      保存脫殼文件,單擊確定後退出.
   8. 執行RES裝入剛由Procdump脫殼後保存的文件, (用RES重整資源結構)
      然後選擇工具中的壓縮讀出,讀出完成後,再選
      擇工具中的重建相容資源.
   9. 完成後,當然是收工啦!!!
 ! 5】 --------脫掉由Aspack 2.11D壓縮過軟體的殼
   脫殼物件: 用Aspack 2.11D壓縮exescope.exe
   說 明: 是用Aspack 2.11D未註冊版壓縮的
   脫殼過程:
方法一 (脫殼需要工具:Procdump,RES)
   1. 執行Bw2000.exe,單擊BW2000中的Track,
      然後執行 Exescope.exe, 得到加殼入口
      點004b1ec4,退出BW2000和Exescope (用衝擊波檢測加殼入口點)
   2. 執行trw2000,然後裝入Exescope.exe 
   3. 在TRW2000中下命令 g 004b1ec4 (去到加殼入口點)
   4. 待去到加殼入口點後,下命令 suspend
   5 待回到系統界面後,執行Procdump.exe (用Procdump進行去殼)
   6. 跟住點擊Procdump上視窗中Exescope.exe
   7. 接著游標放到下視窗中的EXEscope.exe, (方法1)
      然後按鼠標右鍵,選擇Dump (Full),接著
      保存脫殼文件,單擊確定後退出.
   ******** 或 *********************
   游標對住上視窗中的EXEscope.exe後, (方法2)
   然後按鼠標右鍵,選擇Dump (Full),接著 (脫殼試哪個脫殼文件可在
   保存脫殼文件,單擊確定後退出. WIN2000和ME/98下可執行)
   完成後,當然是收工啦!!!
方法二 (脫殼需要工具:TRW2000 1.23)
   1. 執行Bw2000.exe,單擊BW2000中的Track,
      然後執行 Exescope.exe, 得到加殼入口
      點004b1ec4,退出BW2000和Exescope (用衝擊波檢測加殼入口點)
   2. 執行trw2000,然後裝入Exescope.exe 
   3. 在TRW2000中下命令 g 004b1ec4 (去到加殼入口點)
   4. 在TRW2000中下命令 makepe (TRW會在PCG目錄下產生個脫殼文件Newpe.exe)
      完成,收工
   
   
   以上脫殼後的軟體均可在win98/nt/win2000平台下執行.
   軟體脫殼通緝令中的脫殼均利用工具進行脫殼.
 
軟體中文化之──-脫殼篇

古曰: 三軍齊備,先備足糧草。要中文化軟體亦如此,中文化軟體

除了要中文化工具外,還有個最重要的是原軟體是否被壓縮和加殼,

若軟體有加殼和壓縮,那要中文化這軟體的第一步當然要軟體脫殼,

否則.....
您不會軟體脫殼?好!這是篇軟體脫殼最基礎的知識.脫殼前先了

解些流行和強勁的壓縮的加殼軟體.

Upx

高性壓縮,內置壓縮和解壓縮.[注:UPX+upxpr具有強勁保護]

{解壓縮命令: Upx -d }

PECompact 具有保護性的壓縮.不內置解壓縮 [注:殼保護功能中等]
Petite 具有高效保護性的壓縮,不內置解壓縮 [注:殼保護功能中上]
Aspack 具有高效保護性的壓縮,不內置解壓縮 [注:殼保護功能中等]
{脫殼請用專版: unaspack 1.91}
Neolite

高性壓縮,內置壓縮和解壓縮,但最大壓縮不自壓縮

[注:殼保護功能中等]

Shrinker 具有保護性的壓縮.不內置解壓縮 [注:殼保護功能中等]
{脫殼請用專版:deshrink 1.6}
ASProtect 具有高效保護性的加密的壓縮,不內置解壓縮 [注:殼保護功能上等]
.......  


上面部分是中文化軟體經常遇到的殼,如果成功脫殼呢?當然要備足基本利器.
1.SoftICE
2.TRW2000
3.天意
4.ProcDump
5.衝擊波2000 脫殼輔助工具,支援的語系不是太多(暫不支援ASM,VB,VF,
PB程式),有部分程式會找不到入口點
6.各壓縮軟體的專版工具...
[注:我較喜歡國產的TRW2000和天意+ProcDump--這次的物件]
***************************************************************************
脫殼最基本步驟(命令):

A.專版脫工具

解壓縮軟體時具備解壓縮或專版脫殼的,請先分別進行脫殼或解壓縮
B. TRW2000
第一步:用TRW2000裝入要脫殼的軟體
第二步:pnewsec (自動去到脫殼點) ---有時無效就下中斷命令
第三步:makepe (生成個脫殼的newpe.exe)
下這命令不能生成時請用:PEDUMP
第四步:X (退出,OK)
[注:有些脫了殼的軟體要重建Import表或修補文件頭]
C. 天意+ProcDump
第一步:用不願意裝入文件
第二步:按F10或F8去到脫殼點
第三步:suspend (回到windows環境)
第四步:執行ProcDump
第五步:在procdump裡可以選種我們剛才準備脫殼文件的那個進程 !
點鼠標右鍵,選擇dump(full)
第六步:OK
[注:不知道脫殼點時,請用衝擊波2000找出脫點]
D.用ProcDump

用ProcDump去除軟體的殼(這裡不作介紹)

附:用衝擊波2000找到脫殼點的使用方法
Track: 開始進行跟蹤,然後執行要跟蹤的程式.
找到入口點後,會在Enter point 顯示.
Stop : 停止跟蹤
Exit : 退出


*********************************************************
後語:這是本人的工具脫殼的一點用法,給中文化人的最基本的脫殼教學,
專業脫殼人士不要取笑.
有問題請互相探討,歡迎指點錯誤,讓我及時修正.
*******************************************************
凌晨:03點59分59秒
panlong

 



回教學