• pklite32、Shrinker 3.4 和 NeoLite
  • 标 题:怎样脱pklite32, Shrinker 3.4 和 NeoLite加的壳(3千字)
  • 作 者:lis
  • 时 间:2000-7-31 15:59:15
  • 链 接:http://bbs.pediy.com

脱壳----对用pklite32加壳的程序进行手动脱壳
目标文件:    pklite32w.exe
加壳方式:    pklite32
所用工具:    trw2000 v1.22
作者:        iis / 属于梦醒时分[http://hacking.wofly.com]

1.用trw2000的Loader加载加壳程序。

2.按一下f10,将停在下面的地方,
0167:00607005  PUSH    DWORD 00627F84    《——停在这里,一直按f10
0167:0060700A  PUSH    DWORD 00
0167:0060700F  CALL    00627F84
0167:00607014  JMP      004117B0    《——执行完这个指令,执行命令makepe 文件名
0167:00607019  INC      EAX
0167:0060701A  SUB      [EBX],AH

3.脱壳成功。


脱壳----对用Shrinker 3.4加壳的程序进行手动脱壳

加壳方式:  Shrinker 3.4
所用工具:    trw2000 v1.22
作者:        iis / 属于梦醒时分[http://hacking.wofly.com]
1.用trw2000的Loader加载加壳程序。

2.按一下f10,将停在下面的地方,

0167:004365AF  PUSH    EBP    《——停在这里
0167:004365B0  MOV      EBP,ESP
0167:004365B2  PUSH    ESI
0167:004365B3  PUSH    EDI
0167:004365B4  JNZ      00436621
0167:004365B6  PUSH    DWORD 0100
0167:004365BB  CALL    004370D1

3.一直按f10,

0167:00436619  CALL    `KERNEL32!GetModuleFileNameA`
0167:0043661F  JMP      SHORT 00436624
0167:00436621  MOV      ESI,[EBP+08]
0167:00436624  CALL    00435000
0167:00436629  PUSH    DWORD [EBP+10]
0167:0043662C  PUSH    DWORD [EBP+0C]
0167:0043662F  PUSH    ESI
0167:00436630  CALL    0043663B      《——按f8进入
0167:00436635  POP      EDI
0167:00436636  POP      ESI
0167:00436637  POP      EBP
0167:00436638  RET      0C

4.再按f10到达下面的地方,

0167:0043667C  INC      DWORD [004311C0]
0167:00436682  CALL    00435CB2    《——此处将弹出一个消息框,按‘是‘将返回tr
w2000.
0167:00436687  MOV      ESI,[004311C0]
0167:0043668D  TEST    ESI,ESI
0167:0043668F  JZ      004366FF
0167:00436691  CMP      DWORD [004311C4],BYTE +00
0167:00436698  JNZ      004366C0
0167:0043669A  CMP      DWORD [00433774],BYTE +00
0167:004366A1  JZ      004366C0
0167:004366A3  MOV      EAX,[00433774]
0167:004366A8  ADD      EAX,[00433898]
0167:004366AE  MOV      [EBP-20],EAX
0167:004366B1  PUSH    DWORD [EBP+10]
0167:004366B4  PUSH    DWORD [EBP+0C]
0167:004366B7  PUSH    DWORD [EBP+08]
0167:004366BA  CALL    NEAR [EBP-20]  《——按f8进入后,执行命令makepe 文件名
0167:004366BD  MOV      [EBP-1C],EAX
5.脱壳成功。

脱壳----对用NeoLite加壳的程序进行手动脱壳


目标文件:    NeoLite(2.0).exe
加壳方式:    NeoLite
所用工具:    trw2000 v1.22
作者:        iis / 属于梦醒时分[http://hacking.wofly.com]

1.用trw2000的Loader加载加壳程序。

2.将停在下面的地方,
0167:0041C1A8  JMP      0041C253  《——停在这里
0167:0041C1AD  MOV      EAX,A80041DA
0167:0041C1B2  ROL      BYTE [ECX+00],AC
0167:0041C1B6  ROL      BYTE [ECX+00],00
0167:0041C1BA  ADD      [EAX],AL
0167:0041C1BC  ADD      [EAX+6A00004A],BH
0167:0041C1C2  RET      41
3.一直按f10,
0167:0041C262  INC      BYTE [0041C252]
0167:0041C268  JMP      EAX      《——跳到真正的入口点
0167:0041C26A  CMP      BYTE [0041C252],00
0167:0041C271  JNZ      0041C286
4.跳到下面地方,
0167:004073F3  PUSH    EBP        《——跳到这,执行命令makepe 文件名
0167:004073F4  MOV      EBP,ESP
0167:004073F6  PUSH    BYTE -01
0167:004073F8  PUSH    DWORD 0040D1A0
0167:004073FD  PUSH    DWORD 00409A3C
0167:00407402  MOV      EAX,[FS:00]
0167:00407408  PUSH    EAX
5.脱壳成功。