㈠ 軟體脫殼工具有哪些
常見的脫殼工具有兩種:
1。OD自帶脫殼插件
滑鼠右鍵菜單,選擇"Dump debugged process"->設置Entry Point->點擊"Dump"
2.LordPE
LordPE進程列表中選擇目標進程->滑鼠右鍵菜單,選擇"完整脫殼";
脫殼步驟
查殼
使用PEID, PE-SCAN等查殼工具查殼
查找OEP
使用OllyDbg跟蹤調試找到OEP
脫殼
右鍵使用OLLYDBG自帶的脫殼插件
修復
脫下的程序如果不能執行,使用Import ReConstructor工具修復
㈡ 脫殼的脫殼工具
1、文件分析工具(偵測殼的類型):Fi,GetTyp,peid,pe-scan,
2、OEP入口查找工具:SoftICE,TRW,ollydbg,loader,peid
3、mp工具:IceDump,TRW,PEditor,ProcDump32,LordPE
4、PE文件編輯工具PEditor,ProcDump32,LordPE
5、重建Import Table工具:ImportREC,ReVirgin
6、ASProtect脫殼專用工具:Caspr(ASPr V1.1-V1.2有效),Rad(只對ASPr V1.1有效),loader,peid(1)Aspack: 用的最多,但只要用UNASPACK或PEDUMP32脫殼就行了
(2)ASProtect+aspack:次之,國外的軟體多用它加殼,脫殼時需要用到SOFTICE+ICEDUMP,需要一定的專業知識。
(3)Upx: 可以用UPX本身來脫殼,但要注意版本是否一致,用-D 參數
(4)Armadill: 可以用SOFTICE+ICEDUMP脫殼,比較煩
(5)Dbpe: 國內比較好的加密軟體,新版本暫時不能脫,但可以破解
(6)NeoLite: 可以用自己來脫殼
(7)Pcguard: 可以用SOFTICE+ICEDUMP+FROGICE來脫殼
(8)Pecompat: 用SOFTICE配合PEDUMP32來脫殼,但不要專業知識
(9)Petite: 有一部分的老版本可以用PEDUMP32直接脫殼,新版本脫殼時需要用到SOFTICE+ICEDUMP,需要一定的專業知識
(10)WWpack32: 和PECOMPACT一樣其實有一部分的老版本可以用PEDUMP32直接脫殼,不過有時候資源無法修改,也就無法漢化,所以最好還是用SOFTICE配合 PEDUMP32脫殼 我們通常都會使用Procmp32這個通用脫殼軟體,它是一個強大的脫殼軟體,他可以解開絕大部分的加密外殼,還有腳本功能可以使用腳本輕松解開特定外殼的加密文件。另外很多時候我們要用到exe可執行文件編輯軟體ultraedit。我們可以下載它的漢化注冊版本,它的注冊機可從網上搜到。ultraedit打開一個中文軟體,若加殼,許多漢字不能被認出 ultraedit打開一個中文軟體,若未加殼或已經脫殼,許多漢字能被認出 ultraedit可用來檢驗殼是否脫掉,以後它的用處還很多,請熟練掌握例如,可用它的替換功能替換作者的姓名為你的姓名注意位元組必須相等,兩個漢字替兩個,三個替三個,不足處在ultraedit編輯器左邊用00補。
㈢ 推薦好的加殼和脫殼工具
我用過的比較經典的加殼程序:
ASPACK(最經典)、北斗(純國產)、PEProtector、svkp、PESpin、FSG、UPX、AsProtector(超難脫)、PECompact、PELock、PE-Armor(最好用)
目的為逆向工程的偽脫殼軟體:
FreeRes + Resscope(即Restools系列) + ResHacker,這一組其實沒有脫殼,但是可以把殼打破,釋放出裡面的資源文件,從而進行逆向分析。有時需要FixCRC和ImportREC的幫助。
目的為技術學習手工脫殼軟體:
OllyDBG(或者OllyICE)配合PEiD(含ImportREC版)、或者看雪學院的「加殼與脫殼版塊」各類自動專用脫殼腳本、W32Dasm無極版等