一个股票软件主程序的脱壳,大致分成三个步骤: 一.侦测文件 看一看文件是什么语言编写,是否加壳,加何种壳? 广泛使用的是PEiD V0.94,只要增添插件就可以侦测更多的加壳软件。 一般下载: 一蓑烟雨2008新春优化版/看雪学院全插件版 二.程序脱壳 1.自动脱壳 a.脱壳机脱壳 选择相应的专用脱壳机脱壳,选择通用脱壳机脱壳。 一般下载: 超级巡警虚拟机自动脱壳机 V1.5 Misswe/kafan专版 Quick_Unpack_v2.0final_by_aiflyer abstersiver ASPack 脱壳机 b.脚本脱壳 如果通用/专用脱壳机不能对付,我们就有请大侠们经常用的屠龙刀------ollyDBG! OllyDbg是目前最好的程序级调试器。最大的特色之一就是它的插件体系,这是使得用户能够更为有效的扩展它的功能。通过大侠们编写的选择相应的脱壳脚本,来控制OllyDbg自动运行脱壳。 2.手动脱壳 a.用ollyDBG寻找OEP b.用LordPE Deluxe来DUMP程序 c.用Import REConstructor修复输入表 这一部分就很复杂,请参考相应的专门网站的文章!!! 一般下载: ollyDBG V1.10 --聆风听雨汉化第三版/OllyDbg.V1.10聆风听雨汉化第二版+XP界面flyODBG修改版+诸多插件 LordPE Deluxe V1.4--cao_cong汉化增强版 Import REConstructor V1.7 --心海伽蓝汉化版 Import REC插件 三.规范优化 由于很多加壳程序将部分资源(如 Icon、Version Information) 从资源节 (resource section) 移到了壳增加的节里,这导致很多资源工具不能正确识别分布非标准资源(Resource)数据。脱壳后对PE文件资源的标准化修复,使资源工具对修复后的资源进行查看、编辑。 一般下载: DT_FixRes_Demo_by_ dREAMtHEATER汉化版 另外,下面的两类工具最好也各准备一个,也是经常使用的! PE资源修改器 eXeScope_6.50_SC 烈火汉化版 ResScope-v1.96 reshacker V3.5中文版 十六进制修改工具: Hiew 7.21汉化版 UltraEdit-32 v14.00b 简体中文注册版 WinHex v14.1 SR-2_烈火汉化绿色版 Hex Workshop V4.23 汉化破解版 注意:上面的工具,大多数杀毒软件是要报告有病毒的,请考虑清楚后,到专门的网站下载!因此而产生的问题,本人概不负责!! 通用脱壳机脱壳 以【同花顺战略家】为例: 一.侦测文件 二.自动脱壳 三.规范优化 |
联系客服