压缩与脱壳-手动脱壳

核心提示： 你将得到一条出错信息并问你是否尽管出错还是要装入这个exe文件. 点击"Yes".假如Softice已经运行的话, 它应该在程序的入口处中断.可是它并没有中断,压缩过的notepad.exe直接就运行了.该到改变characteristics of the sectio

你将得到一条出错信息并问你是否尽管出错还是要装入这个exe文件. 点击"Yes".

假如Softice已经运行的话, 它应该在程序的入口处中断.可是它并没有中断,压缩过的notepad.exe直接就运行了.

该到改变characteristics of the sections的时间了...

通过改变characteristics, 你可以使Softice中断于程序入口.

用ProcDump装入压缩过的notepad.exe (使用PE Editor)

你会看到这个以"PE Structure Editor"作为标题的窗口.

点击称作"Sections"的按钮.

你将得到另一个以"Sections Editor"做标题的窗口.

你会见到压缩过的notepad.exe的不同sections.

第一个是 .shrink0 它的characteristics是C0000082.

改变characteristics: 鼠标左键点击.shrink0再点击右键并选择edit section.

你将得到另一个窗口,它用'Modify section value" 作标题.

把Section Characteristics由C0000082改为E0000020.

一路按OK直到你回到ProcDump的主窗口.

你现在可以把ProcDump放在一边了.

**我愿意多作解释为什么必须这样做,但我没这个能力. 8P

你也许要读些PE结构的资料来找到原因.

别人教我说, E0000020将使section成为可执行的,因此Softice将会中断于入口处找到程序真正入口并进行脱壳现在, 希望你没有关闭symbol loader. 假如你关掉的话,重新运行它,打开并装入已压缩的notepad.exe

当你这次点击"Yes"时, 你会发现你已在进入Softice中了...

我把下面的代码贴出来并加上注解.

************************* 你在SICE中所见到的 *************************