黑客防线VIP破解脱壳教程,共19课,适合破解脱壳新手观看。
这是我打算写的*简单*的脱壳系列教程的第一篇. 目标程序是notepad.exe,在大多数
的电脑中都有它. 因为我还不能很好地解释脱壳中的一些问题,我只能尽我所能向你们
展示简单的方法. 至于高级的方法,你们必须去读别的教程.
_________________________________________________________________________
使Softice中断于程序入口处
用Symbol Loader打开已压缩的notepad.exe.
点击Symbol loader任务条上的第二个图标,当你把鼠标移到图标上时,在Symbol Loader
窗口底部提示行你会见到"Load the currently open module"的字样
你将得到一条出错信息并问你是否尽管出错还是要装入这个exe文件. 点击"Yes".
假如Softice已经运行的话, 它应该在程序的入口处中断.可是它并没有中断,压缩过的
notepad.exe直接就运行了.
该到改变characteristics of the sections的时间了...
通过改变characteristics, 你可以使Softice中断于程序入口.
用ProcDump装入压缩过的notepad.exe (使用PE Editor)
你会看到这个以"PE Structure Editor"作为标题的窗口.
点击称作"Sections"的按钮.
你将得到另一个以"Sections Editor"做标题的窗口.
你会见到压缩过的notepad.exe的不同sections.
第一个是 .shrink0 它的characteristics是C0000082.
改变characteristics: 鼠标左键点击.shrink0再点击右键并选择edit section.
你将得到另一个窗口,它用’Modify section value" 作标题.
把Section Characteristics由C0000082改为E0000020.
一路按OK直到你回到ProcDump的主窗口.
你现在可以把ProcDump放在一边了.
**我愿意多作解释为什么必须这样做,但我没这个能力. 8P
你也许要读些PE结构的资料来找到原因.
别人教我说, E0000020将使section成为可执行的,因此Softice将会中断于入口处
找到程序真正入口并进行脱壳
现在, 希望你没有关闭symbol loader. 假如你关掉的话,重新运行它,打开并装入已
压缩的notepad.exe
当你这次点击"Yes"时, 你会发现你已在进入Softice中了...
我把下面的代码贴出来并加上注解.
【百度搜索更多】
【谷歌搜索更多】
本页地址 http://www.jybase.net/pojiejiaocheng/20120505906.html