手动脱壳

3、Shrinker v3.4 的壳

****************************************************************** 
冰毒注: 
1. Notepad.exe就是Windows自带的写字板程序,相信大家的机器中都会有. 
2. Shrinker v3.4可以在http://w3.to/protools下载,这里你可以找到你 
想要的几乎所有的工具. 
****************************************************************** 

使用工具: 
ProcDump 
Softice 
Symbol Loader (冰毒注:这个是Softice自带的,用过Softice的应该知道) 

破解方法: 
手动脱壳 

教学目的: 
教你手动脱壳的基本技术 
__________________________________________________________________________ 

                        关于这个教程 

这是我打算写的*简单*的脱壳系列教程的第一篇. 目标程序是notepad.exe,在大多数 
的电脑中都有它. 因为我还不能很好地解释脱壳中的一些问题,我只能尽我所能向你们 
展示简单的方法. 至于高级的方法,你们必须去读别的教程. 
_________________________________________________________________________ 

        使Softice中断于程序入口处 

用Symbol Loader打开已压缩的notepad.exe. 

点击Symbol loader任务条上的第二个图标,当你把鼠标移到图标上时,在Symbol Loader 
窗口底部提示行你会见到"Load the currently open module"的字样 

你将得到一条出错信息并问你是否尽管出错还是要装入这个exe文件. 点击"Yes". 

假如Softice已经运行的话, 它应该在程序的入口处中断.可是它并没有中断,压缩过的 
notepad.exe直接就运行了. 

该到改变characteristics of the sections的时间了... 
通过改变characteristics, 你可以使Softice中断于程序入口. 

用ProcDump装入压缩过的notepad.exe (使用PE Editor) 
你会看到这个以"PE Structure Editor"作为标题的窗口. 
点击称作"Sections"的按钮. 

你将得到另一个以"Sections Editor"做标题的窗口. 
你会见到压缩过的notepad.exe的不同sections. 

第一个是 .shrink0 它的characteristics是C0000082. 
改变characteristics: 鼠标左键点击.shrink0再点击右键并选择edit section. 

你将得到另一个窗口,它用’Modify section value" 作标题. 
把Section Characteristics由C0000082改为E0000020. 
一路按OK直到你回到ProcDump的主窗口. 
你现在可以把ProcDump放在一边了. 

**我愿意多作解释为什么必须这样做,但我没这个能力. 8P 
  你也许要读些PE结构的资料来找到原因. 
  别人教我说, E0000020将使section成为可执行的,因此Softice将会中断于入口处 

找到程序真正入口并进行脱壳 

现在, 希望你没有关闭symbol loader. 假如你关掉的话,重新运行它,打开并装入已 
压缩的notepad.exe 

当你这次点击"Yes"时, 你会发现你已在进入Softice中了... 
我把下面的代码贴出来并加上注解.

[1] [2] [3] 下一页