admin 管理员组

文章数量: 887021


2024年1月28日发(作者:编程小学生怎么学)

如何破解.exe文件

脱壳 步骤 脱壳步骤

壳的概念:

所谓“壳”就是专门压缩的工具。

这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。

壳的作用:

1.保护程序不被非法修改和反编译。

2.对程序专门进行压缩,以减小文件大小,方便传播和储存。

壳和压缩软件的压缩的区别是

压缩软件只能够压缩程序

而经过壳压缩后的exe、com和dll等程序文件可以跟正常的程序一样运行

下面来介绍一个检测壳的软件

PEID v0.92

这个软件可以检测出 450种壳

新版中增加病毒扫描功能,是目前各类查壳工具中,性能最强的。

另外还可识别出EXE文件是用什么语言编写的VC++、Delphi、VB或Delphi等。

支持文件夹批量扫描

我们用PEID对进行扫描

找到壳的类型了

UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

说明是UPX的壳

下面进行

步骤2 脱壳

对一个加了壳的程序,去除其中无关的干扰信息和保护限制,把他的壳脱去,解除伪装,还原软件本来的面目。这个过程就叫做脱壳。

脱壳成功的标志

脱壳后的文件正常运行,功能没有损耗。

还有一般脱壳后的文件长度都会大于原文件的长度。

即使同一个文件,采用不同的脱壳软件进行脱壳,由于脱壳软件的机理不通,脱出来的文件大小也不尽相同。

关于脱壳有手动脱壳和自动脱壳

自动脱壳就是用专门的脱壳机脱 很简单 按几下就 OK了

手动脱壳相对自动脱壳 需要的技术含量微高 这里不多说了

UPX是一种很老而且强大的壳 不过它的脱壳机随处就能找到

UPX本身程序就可以通过

UPX 文件名 -d

来解压缩 不过这些需要的 命令符中输入

优点方便快捷 缺点DOS界面

为了让大家省去麻烦的操作 就产生了一种叫 UPX SHELL的外壳软件

UPX SHELL v3.09

UPX 外壳程序!

目的让UPX的脱壳加壳傻瓜化

注:如果程序没有加壳 那么我们就可以省去第二步的脱壳了,直接对软件进行分析了。

脱完后 我们进行

步骤3

运行程序

尝试注册

获取注册相关信息

通过尝试注册 我们发现一个关键的字符串

“序列号输入错误”

步骤4

反汇编

反汇编一般用到的软件 都是 W32Dasm

W32dasm对于新手 易于上手 操作简单

W32Dasm有很多版本 这里我推荐使用 W32Dasm 无极版

我们现在反汇编WebEasyMail的程序文件

然后看看能不能找到刚才的字符串

步骤5

通过eXeScope这个软件来查看未能在w32dasm中正确显示的字符串信息

eXeScope v6.50

更改字体,更改菜单,更改对话框的排列,重写可执行文件的资源,包括(EXE,DLL,OCX)等。是方便强大的汉化工具,可以直接修改用 VC++ 及 DELPHI 编制的程序的资源,包括菜单、对话框、字符串表等

新版可以直接查看 加壳文件的资源

我们打开eXeScope

找到如下字串符

122,"序列号输入错误 "

123,"恭喜您成为WebEasyMail正式用户中的一员! "

124,注册成功

125,失败

重点是122

步骤6

再次返回 w32dasm

* Possible Reference to String Resource ID=00122: "?鲹e ?"

但是双击后

提示说找不到这个字串符

不是没有 是因为 "?鲹e ?"是乱码 w32dasm对于中文显示不是太好

毕竟不是国产软件

先把今天会用到的汇编基本指令跟大家解释一下

mov a,b ;把b的值赋给a,使a=b

call :调用子程序 ,子程序以ret结为

ret :返回主程序

je或jz :若相等则跳转

jne或jnz :若不相等则跳转

push xx:xx 压栈

pop xx:xx 出栈

栈,就是那些由编译器在需要的时候分配,在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等。

我们搜索

Possible Reference to String Resource ID=00122

因为对E文支持很好

我们来到了

* Referenced by a (U)nconditional or (C)onditional Jump at Address:

|:00406F17(C) //跳转来自 406F17

|

* Possible Reference to String Resource ID=00125: "1%"

|

:004070DD 6A7D push 0000007D

:004070DF 8D4C2410 lea ecx, dword ptr [esp+10]

:004070E3 E8F75A1200 call 0052CBDF

* Possible Reference to String Resource ID=00122: "?鲹e ?"

|

:004070E8 6A7A push 0000007A

:004070EA 8D4C2408 lea ecx, dword ptr [esp+08]

:004070EE E8EC5A1200 call 0052CBDF

我们来到

:00406F01 8B876C080000 mov eax, dword ptr [edi+0000086C]这里是对

:00406F07 8B4C2408 mov ecx, dword ptr [esp+08]

:00406F0B 50 push eax//这两个eax和ecx入栈就比较让我们怀疑了

:00406F0C 51 push ecx//产生注册码

:00406F0D E8AE381100 call 0051A7C0//这CALL里对注册位应该会有设置

:00406F12 83C40C add esp, 0000000C

:00406F15 85C0 test eax, eax// 检测注册位

:00406F17 0F85C0010000 jne 004070DD //不存在注册位 就会跳到4070DD就会出现那个错误的字串符了

我们记住406F01这个地址

接着进行下一步

步骤7

这一步我们进行的是调试

用到的软件是ollydbg

好了我们找到了 注册码0012AF04 00FD4A10 ASCII "04893e058f9c1c9fb16764c3b86f78e6"

但是这个并不是我们的主要目的

我们还要做出属于自己的注册机

相信这个是很多人梦寐以求的事情

步骤8

制作注册机

注册机我们需要的是一个KEYMAKE的软件

因为2.0是演示版而且停止更新了

所以我们用1.73版

做一个内存注册机 需要下面几个资料

中断地址:406F0C

中断次数:1

第一字节:51

指令长度:1

认识软件脱壳及脱壳工具下载

技术驿站 2006-09-26 12:22:10 阅读710 评论1 字号:大中小 订阅

一.壳的概念

作者编好软件后,编译成exe可执行文件

1.有一些版权信息需要保护起来,不想让别人

随便改动,如作者的姓名等

2.需要把程序搞的小一点,从而方便使用

于是,需要用到一些软件,他们能将exe可执行文件压缩,

实现上述两个功能,这些软件称为加壳软件或压缩软件.

它不同于一般的winzip,winrar等压缩软件.

它是压缩exe可执行文件的,压缩后的文件可以直接运行.

二.加壳软件

最常见的加壳软件ASPACK ,UPX,PEcompact

不常用的加壳软件WWPACK32;PE-PACK ;PETITE ;NEOLITE

三.侦测壳和软件所用编写语言的软件

1.侦测壳的软件 简称(侦测壳的能力极强)

使用方法:

第一种:待侦测壳的软件(如)和位于同一目录下,执行

windows起始菜单的运行,键入

fi aa

第二种:待侦测壳的软件(如)和位于同一目录下,将aa的图标拖到fi的图标上

2.侦测壳和软件所用编写语言的软件(两个功能

合为一体,很棒) 推荐language2000中文版,我的主页可下载

傻瓜式软件,运行后选取待侦测壳的软件即可(open)

图中所示软件是用Visual Basic6.0编的,upx加壳

3.软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC)

四.常用资源

1.破解工具站点(以上工具从这里找)

(guowai/

2.软件站点

/ (强烈推荐,这里能找到软件的各个版本,尤其是旧版本。以后破解例子中所用软件一般在这儿都能找到)

五.国外破解站点

-----------破解教程类:---------

1. +HCU Academy - Tsehp(dot)cjb(dot)net (Academy - Best)

2. The Krobar Collection: (Recommended)

3. CoDe_InSiDe - (Mine/CoDe's tutorials)

4. Eternal_Bliss - (Visual-Basic)

5. +Sandman - /~thesandman/ (Best - Recommended)

6. Icezelion's Win32Asm - (Coding)

7. tHE Egoiste - (Great page with Crypto Stuff)

8. CrackMe's Page - (Recommended, dl all CrackMe from here)

--------破解工具类:---------

1. Programmers Tools - (Best)

2. Play Tools - (Great)

3. EXE Tools - / (Average)

4. Aaron's Tools - /per/aaron/ (Average)

5.

6.

7. (FileMon)

8. /~ajohnson/resourcehacker

9.

:// (May be down)

-----------破解组织类:-----------

1. PGC -

2. The Millenium Group - / (Keygen Factory :-)

3. HellForge - /

4. The Cracking Answer - /

5. Immortal Descendants -

6. TrickSoft - /tricksoft/

7. DOOM - /Html/

8. /

解密脱壳工具下载介绍

【转贴】

通过上一节,我想大家己认识了什么是壳的概念了,也是说运行加壳程序时, 用户执行的实际上是这个外壳的程序,而这个外壳程序负责把用户原来的程序在内存中解压缩,并把控制权交还给解开后的真正的程序,由于一切工作都是在内存中运行,用

户根本不知道也不需要知道其运行过程,只要执行起来没有变化就好。当时有些人担心这些解压缩的工作会给程序带来额外的运行时间,但实际上所有的可执行文件都要读到内存中去执行,文件小了,从计算机硬盘上读到内存的时间自然也少了,两下相抵,实际上用户并不会感觉程序慢了多少。脱壳的就是把在内存中真正还原的程序抓取下来,修正后变成可执行的文件。

在Windows 95/NT/2000 上的文件格式是Portable Executable File Format(即PE格式),该格式应用于所有基于Win32的系统。由于现在windows的普及,下面谈到的壳都是基于这种文件格式。

压缩工具介绍(PACKERS)

我们这里谈的压缩工具不是Winzip,WINRAR等工具(它们是可压缩任何文件),而是谈专门压缩windows下的 PE 格式EXE或DLL文件的工具,压缩的EXE文件是自解压可执行文件。

常用压缩工具(Windows Packers )列表: 名称 作者 主页 介绍

ASPack Alexey Solodovnikov 是俄国作者Alexey Solodovnikov写的一个非常强大的Win32压缩工具,其压缩率、速度和兼容性很不错,是目前很流行的一种压缩工具。

UPX Markus Oberhumer & Laszlo Molnar Homepage 非常全能的 EXE 压缩软件,并可用UPX -D命令脱壳。

Petite Ian Luck Homepage 能压缩PE文件的code, data等资源。

PE-PACK ANAKiN Homepage 一个自身体积小巧的压缩工具

PKLITE32 PKWARE, Inc. 32-位压缩工具(DLL/EXE).

WWPack32 Piotr Warezak and Rafal Wierzbicki Homepage 32-位压缩工具(DLL/EXE).

NeoLite Hompage 32-位压缩工具(DLL/EXE).

Shrinker Blink Inc Hompage 32-位压缩工具(DLL/EXE).

脱壳工具介绍(UNPACKERS)

一般某种压缩工具的壳,都会有相应的脱壳工具,因此只要找到较新版本的脱壳工具, 一般的壳都可轻易脱去。

常用脱壳工具(Windows Unpackers)列表: 名称 作者 主页 介绍

ASPack unpacker bane Homepage 脱ASPack的压缩PE文件。

D. 脱PEPack的壳

ProcDump32 十分优秀的“万能”脱壳工具,可惜不升级了,因此只能自动脱些老版本压缩工具的壳,但可通过脚本命令使其升级。也是一款优秀的PE修改工具。

侦测文件类型工具

名称 介绍

FileInfo 能检测多种文件格式,脱壳前用来判断是否加壳或何种壳,推荐使用!

GetTyp 功能同上

TYP 功能同上

要了解更多的压缩工具或脱壳工具可去下面站点:

看学工具区

/tools/

国外站点

/

/

我的Ollydbg 含全部汉化插件

相关页面

/?tid=277

Asprotect1.2X 部分汉化脱壳器

相关页面

/?tid=539

/?tid=281

Asprstripperxp 1.23 汉化版.rar

Asprstripperxp 1.33 汉化版.rar

Asprstripperxp 2.01 汉化版.rar

PELOCK1.06-CRACKED-FULL下载

/?tid=207

UPX变形壳脱壳工具

/?tid=109

一些朋友要的东东,快来下吧!

本地下载:W32dasm ANTI版 by yaoyuan[CCG]


本文标签: 脱壳 软件 程序 工具 文件