文章导航PC6首页软件下载单机游戏安卓资源苹果资源

pc软件新闻网络操作系统办公工具编程服务器软件评测

安卓新闻资讯应用教程刷机教程安卓游戏攻略tv资讯深度阅读综合安卓评测

苹果ios资讯苹果手机越狱备份教程美化教程ios软件教程mac教程

单机游戏角色扮演即时战略动作射击棋牌游戏体育竞技模拟经营其它游戏游戏工具

网游cf活动dnf活动lol周免英雄lol礼包

手游最新动态手游评测手游活动新游预告手游问答

您的位置:首页精文荟萃破解文章 → 自动脱壳之ProcDump应用文章一

自动脱壳之ProcDump应用文章一

时间:2004/10/15 0:51:00来源:本站整理作者:蓝点我要评论(0)

2、ProcDump应用文章一




注:本文作者PererS是台湾的,因此要注意在一些名词上称呼与我们不同。
由于此文写作时间较早,在此推荐两个新版工具:
侦测工具:推荐FileInfo。
脱壳工具:ProcDump32 v1.6.2 FINAL终结版本 。(作者不升级了,对目前新版压缩工具的壳无效,为了你对 Procdump有个认识,在此提供一较老版本ASPack压缩的记事本程序供练习)

标题:软体名称中文哇!档案阅览器 2000 (Version 4.1)
保护方法壳
需要工具TYP(侦测工具) & ProcDump 1.50(剥壳机)
文章作者Peter S.(彼得的家)

侦测与剥 CWView 2000 (Version 4.1) 的壳

一、前言

    何谓壳?相信这是很多人的疑问。

其实壳,顾名思义,就像鸡蛋的壳一样,主要是保护鸡的「卵」。从外观上看来,鸡蛋是白色的,但是把壳剥掉以后呢?是黄色的卵+透明的蛋白(未熟蛋)。这应用到我们的破解与保护上呢,也是同样的意思,假若我今天要修改一个执行档(就像我要把黄色的卵,涂成绿色),但是因为有壳,所以根本找不到你要修改的地方(就像光从鸡蛋的外观上看来,根本找不到有黄色的地方一样),一定要把壳「剥掉」,才能达成你的目的。我这样说,应该比较容易了解什么是壳了吧? 

当然,正确的说,「壳」与「加密」是一体的,这类似你有一个纯文字档,如果你用zip压缩它以后,能够再更改它吗?不可能,因为资料已经被重新排列、且压缩运算过,成为一堆乱码,所以根本不能直接改。

这个教学文件所需要的软体如下:

1. TYP  这是一个能侦测你的软体是被哪一种「壳」给加密了

   (就好像侦测你的文件档是被zip、rar、arj哪一个给压缩了一样,如果连被哪种软体加了壳都不晓得,那要剥壳就难很多)。

2. Procdump 1.5 这是剥壳机器,可剥许多已知壳、未知的for win32的壳。

二 . 用 TYP 测试 CWView2000 是被哪种壳给加密了 :

    废话不多说,直接来:

1.首先,你要把你下载来的TYP先解压缩到某个目录(我假设c:\try)

2.再来,把CWView2000的主程式cwview32.exe,由c:\cwv2000下拷贝到上面讲的目录(c:\try),接下来,从win95开一个dos视窗,并且切换到c:\try目录下,然后键入typ3 cwview32.exe

3.过几秒以后,直接跳到最后一行,有没有看到ASPACK / Solodovnikov Alexy [1.07b]这行?

    哦~~~原来CWView2000是用ASPACK 1.07b 来加密的啊。那要脱壳不就简单了,去找一个专门脱ASPACK 1.07的软体不就得了??

    没错,不过我在来要教的,是使用目前全世界最强的拨壳机Procdump来剥壳。

三.用Procdump 1.50 来剥ASPACK 1.07b的壳:

1.首先,当然也是把Procdump解压缩到刚刚的目录(C:\TRY)

2.执行Procdump,你会看到如下的视窗:

3.因为我们要剥壳,所以按下Unpack(其他的按钮是干什么的,我也不清楚,大概是跟WIN的PE执行档有关的吧):

4.由刚刚TYP侦测得知,CWView2000是用Aspack 1.07b加的壳,所以理所当然的我们要选择 [Aspack<108],选好后,按下OK(要选对喔,选错会剥不出来):

5.此时,ProcDump会要求你开启你要剥壳的执行档,当然,我们要把路径指到c:\try\cwview32.exe

6.紧接著马上会出现如下的视窗,此时,千万不要按下[确定]。稍微等一下,有耐心一点,你马 上就会看到CWView2000被呼叫执行了,此时,将视窗切换至CWView,随便使用一二个 功能,然后在不要关掉CWView2000之下,按下[确定]钮。(这个按钮是当程式[完全]被载入以后,才要按的)

上面这个步骤很重要,如果心急乱按或乱关,你就得重来了。

7.按下[确定]后没多久,会出现下面的视窗,并且此时cwview会自动被关掉,然后开始剥壳 运算,当出现Step by step analyzis activated ...时,过不久,Prucdump就会要求你键入要输出的 档名(也就壳剥掉以后,原始的卵要存成什么档名),我这里举例成unshell.exe,此时,也代表剥壳成功!!:

剥壳还蛮简单的嘛,对不对?

三 . 试试看剥壳了以后的 CWView32.exe 可不可用 :

    你可以自己执行看看,应该可以用吧?或许你也可以比较一下剥壳与未剥之间的差别, 你将惊觉:没有剥壳的CWView32只有602kb,但是剥壳后,竟然高达1634kb。很惊人的压缩率吧!(所以加密或加壳的确有存在的必要,就好像压缩一样,可以帮助人们节省很多硬碟空间)

四 . 试试看剥壳了以后的 CWView32.exe 可不可以修改成注册版 ?:

    你可以用16位元编辑器,打开刚刚剥壳后的档案(unshell.exe),然后

寻找 C60520864F0001

改成 ------------00

嘿嘿,找的到对不对?也可以改了吧...这样就不用使用「动态破解」软体PPATCHER了!

五 . 我知道你在想什么 ...

    你是不是在想,可不可以把刚刚修改完成的unshell.exe再把它加壳,让它变的小一点啊?

当然可以,只要你有加壳软体...还等什么,赶快去做啊!

从这次的破解教学我们学到:

1. 如何使用TYP来侦测壳,与如何使用史上最强的procdump来剥壳。

2. 要剥壳,其实并不难,只要TYP侦测得出来、procdump有列表的,都很简单。

要注意的是:

1.当你发现TYP的回报是Unknow时候,别慌,procdump也可以针对未知的壳作剥壳的运算,只要选择 **unknow** 就可以啦,不过成功率当然降低许多。

2.为什么要介绍procdump?因为它可以script.ini来增加剥壳的能力。也就是你可以自己用sice追某个被不知名加密软体给加壳的软体,然后纪录起相关的资料,再交由Procdump来把记忆体的内容「dump」(存)起来,只是这篇教学没有教(我也不太会啦...)。 

3.TYP是目前世界上侦测壳、压缩资料,能力最强的软体,要善用,你可以在下面的网站抓到:

阿伦的家(GB码): http://crackers.163.net/
作者网页: http://www-user.TU-Cottbus.DE/~kannegv

注意:要抓dos32的版本,才能在windows下正常使用

4.Procdump是目前世界上最强的拨壳软体,除可以剥已知道的壳外,还可以剥许多未知的壳。更可以以手动的方法,增强其剥壳能力(可惜的是,它只支援win32的软体,win16与dos的他都不支援)。,你可以在下面的网站抓到:

阿伦的家(GB码): http://crackers.163.net/
吴朝相的家(GB码):http://member.netease.com/~topage

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 去除winrar注册框方法

最新文章 比特币病毒怎么破解 比去除winrar注册框方法 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)通过Access破解MSSQL获得数据

人气排行 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)qq相册密码破解方法去除winrar注册框方法(适应任何版本)怎么用手机破解收费游戏华为无线猫HG522破解如何给软件脱壳基础教程