• <脱壳通辑令>之一
  • 标 题:部份软件的脱壳(Upx 0.72-1.0x,PC Guard,Telock,PECompact) (4千字)
  • 作 者:upx
  • 时 间:2001-2-2 19:41:29
  • 链 接:http://bbs.pediy.com

需要下载教程中工具请到:http://longdiy.myetang.com/    或
                        http://go8.163.com/~panlong/
    <脱壳通辑令>之一
〖1〗    -------脱掉由PCG加密过软件的壳
脱壳对象:PC Guard for Win32 3.04D2
主页地址: http://www.pc-guard.co.yu
说明:加密软件,下简称PCG
脱壳需要工具:TRW2000 1.23,PEditor 1.7,RES,BlW2000 0.2
1. 运行Blw,按Track,运行PCG,得到脱壳入口点:00411250,
  然后退出BW2000和Exescope
2. 运行TRW2000,装入PCG,入到TRW调试界面后下命令e eip 0
3. 在TRW2000中下命令 g 00411250    (在TRW中去到PCG加壳入口点)
4. 在TRW2000中下命令 makepe      (TRW会在PCG目录下产生个脱壳文件Newpe.exe)
5. 按X退出TRW2000
6. 运行RES,用RES打开Newpe.exe,接着按工具中的建置相容资源.确定后退出.
7. 运行PEditor 1.7,按浏览打开Newpe.exe,接着按Rebuilder.
8. 进入重建画面后选择realign file和其中的normal,再选择
  rebuild Improt Table和其中的rebuild new Improt Table,
  最后选择make PE header win nt/2k compatible
9. 按 DO 重建引入.确定后退出.
        完成,收工.

〖2〗  --------脱掉由UPX 0.XX-Upx 1.0x压缩过软件的壳
脱壳对象:CodeFusion Wizard Version 3.0
主页地址:http://come.to/kobik
说明:补丁制作软件,它已补UPX 0.72压缩,下称CFW

脱壳需要工具:FS,RES
1. fs -u cfg.exe
2. fs -rn -spl cfg.exe
3. 运行RES ,打开cfg.exe,接着按工具中的建置相容资源.确定后退出.
脱壳完成,收工.(哗!这么简单?是哦!就这么简单,不信,你试呗)

〖3〗  --------脱掉由PECompact 1.xx压缩过软件的壳
脱壳对象:PECompact 1.43
主页地址:http://www.collakesoftware.com
说明:压缩软件,下简称PEC
脱壳需要工具:fs,PEditor 1.7,RES 3.0
1. fs -u pec.exe
2. fs -rn -spl PEC.exe
3. 运行RES ,打开PEC.exe,接着按工具中的建置相容资源.确定后退出.
4. 运行PEditor 1.7,按浏览打开PEC.exe,接着按Rebuilder.
5. 进入重建画面后选择realign file和其中的normal,再选择
  rebuild Improt Table和其中的rebuild new Improt Table,
  最后选择make PE header win nt/2k compatible
9. 按 DO 重建引入.退出收工
          脱壳完成,收工.

〖4〗  --------脱掉由Telock 0.71压缩过软件的壳
脱壳对象: 用Telock 0.71压缩exescope.exe
说明: telock压缩选项(防softice检测,重整
      覆盖和reloc区段和ITA重定位)
脱壳需要工具:TRW2000,Procdump,RES,BlW2000 0.2
脱壳过程:
1. 运行Bw2000.exe,单击BW2000中的Track,  (用冲击波检测加壳入口点)
  然后运行 Exescope.exe, 得到加壳入口
  点004b1ec4,退出BW2000和Exescope       
2. 运行trw2000,然后装入Exescope.exe       
3. 在TRW2000中下命令 g 004b1ec4          (去到加壳入口点)
4. 在TRW2000中下命令 suspend             
5. 回到系统界面后运行Procdump.exe        (用Procdump进行去壳)
6. 跟住点击Procdump上窗口中Exescope.exe
7. 接着光标放到下窗口中的EXEscope.exe,
  然后按鼠标右键,选择Dump (Full),然后
  保存脱壳文件,单击确定后退出.
8. 运行RES装入刚由Procdump脱壳后保存的文件,    (用RES重整资源结构)
  然后选择工具中的压缩读出,读出完成后,再选
  择工具中的重建相容资源.
9. 完成后,当然是收工啦!!!

〖5〗  --------脱掉由Aspack 2.11D压缩过软件的壳
脱壳对象: 用Aspack 2.11D压缩exescope.exe
说  明: 是用Aspack 2.11D未注册版压缩的
脱壳过程:
方法一  (脱壳需要工具:Procdump,RES)
1. 运行Bw2000.exe,单击BW2000中的Track,
  然后运行 Exescope.exe, 得到加壳入口
  点004b1ec4,退出BW2000和Exescope  (用冲击波检测加壳入口点)
2. 运行trw2000,然后装入Exescope.exe       
3. 在TRW2000中下命令 g 004b1ec4      (去到加壳入口点)
4. 待去到加壳入口点后,下命令 suspend
5  待回到系统界面后,运行Procdump.exe              (用Procdump进行去壳)
6. 跟住点击Procdump上窗口中Exescope.exe
7. 接着光标放到下窗口中的EXEscope.exe,        (方法⑴)
  然后按鼠标右键,选择Dump (Full),接着
  保存脱壳文件,单击确定后退出.
    ******** 或 *********************
  光标对住上窗口中的EXEscope.exe后,          (方法⑵)
  然后按鼠标右键,选择Dump (Full),接着      (脱壳试哪个脱壳文件可在
  保存脱壳文件,单击确定后退出.                WIN2000和ME/98下可运行)
完成后,当然是收工啦!!!

方法二 (脱壳需要工具:TRW2000 1.23)
1. 运行Bw2000.exe,单击BW2000中的Track,
  然后运行 Exescope.exe, 得到加壳入口
  点004b1ec4,退出BW2000和Exescope  (用冲击波检测加壳入口点)
2. 运行trw2000,然后装入Exescope.exe       
3. 在TRW2000中下命令 g 004b1ec4      (去到加壳入口点)
4. 在TRW2000中下命令 makepe          (TRW会在PCG目录下产生个脱壳文件Newpe.exe)
      完成,收工
             
以上脱壳后的软件均可在win98/nt/win2000平台下运行.
软件脱壳通辑令中的脱壳均利用工具进行脱壳.