• 标 题:哪位大侠能看看这个软件的壳。
  • 作 者:bo_zai
  • 时 间:2000-5-14 21:57:33

http://www2.freeshine.com/macd/jsgj/downloads/znzdat3.macd 下载后将macd改为zip 530K中的znzmate.exe 不知是哪种软件给加的壳,太厉害了。只要加载了ICE或TRW2000就立刻当机,用ICE欺骗工具也不行。

答复:

用FileInfo查看是用PELOCKnt v2.04加的密,但到playtools站点下载PEUNLOCK-NT解密却不成功。 > 卡巴杀导入表,两字节地址指向kernel32.dll字符串就杀,而修改这两字节指向的字符串(不是kernel32.dll)就不杀,但是这两字节必须指向kernel32.dll字符串。。这种情况该怎么免杀,请高手指点。。。谢谢

  • 标 题:如何脱指南针的壳
  • 作 者:冰毒
  • 时 间:2000-5-15 8:57:27

Znzmate.exe显然是用PELOCKnt 2.04加密的,但是用PEUNLOCK解密时却提示程序不是PELOCKnt加密的。因为PELOCKnt并无更新的版本,而UCF出的PEUNLOCK是可以对付所有版本的PELOCKnt的。事情便有些蹊跷。PEUNLOCK带有源程序,不妨研究一下:

cmp word ptr [PEheader+0f6h], 1000h ; check if its PELOCKNT-ed, this
jnz NoPELock ; is a propertary flag for PELOCK-NT

好的,用PELOCKnt加密一个小程序,在HEX编辑器中观察对比

Znzmate: 0000 0100 1010 5045 4C4F 434B 6E74 ......PELOCKnt
正常情况: 0000 0100 0010 5045 4C4F 434B 6E74 ......PELOCKnt

这就是程序作者的小花招。知道如何做了吗?把1010改成0010,存盘。再试着用PEUNLOCK解密,OK!不过程序还有第二层壳,用ASPACK 1.07b加的壳,用UnAspack可以自动脱壳,但脱壳后的程序运行时却出错。好在手动脱壳也很简单。用ProcDUMP脱壳并修改程序入口值即可。

--------------------------------------------------------------------------------