使用PEid脱PECompact壳 0基础实战

最近给大家发了一个PEiD查壳工具,可能对于新手并不知道这个东西是干什么的。

正好给大家操作一下它的使用。

PEiD是现在最流行的查壳工具,所谓的“壳”说白了就是给程序套上的一层“护罩”,大概可分为两种:压缩壳和保护壳。

保护壳就是可以保护程序不会被反编译工具直接查看到代码,起到混淆的作用。
压缩壳就是可以使源程序体积减小,同样也可以实现加密的效果。

所以,壳也分为很多种,比如常见的UPX、ASPack等等。

当然,壳可以加,也可以“脱”。呵呵。

好了,废话不多说,下面我就用PEiD演示一下怎么查壳,并脱壳,还原程序原本的样子。

有的时候,我们想反编译某个程序,会发现如下提示:

提示“损坏的资源(可能是压缩或加密文件)”。

这样的程序几乎都是被加过壳的。

在这里,我做演示的程序是PEiD自己(因为它自己也是被加过壳的,正好我就用它自己做演示了。呵呵)。

首先,打开PEiD查壳工具:

然后,把要查壳的程序(在这里也就是PEiD)拖放到上面打开,会看到如下结果:

没有提示说这个软件是使用什么工具或什么语言编写的,那么很明显,这个程序就是被加过壳的。
注意红色箭头所标注的地方,直接查出壳的类型:“PECompact 2.x -> Jeremy Collake”。
也就是添加的“PECompact 2.x”版本的壳。

这个壳属于压缩壳,怎么脱呢?直接使用对应类型的脱壳工具就行了。

在这里,我们使用“PECompact 2.x”的脱壳工具对其进行脱壳。
我在这使用的是“PECompact 2.x-3.x 脱壳机”,打开工具:

选择浏览要脱壳的程序,在这里我用的是PEiD做的演示,浏览文件,或者直接将文件拖拽入工具:

然后选择“脱壳”:

然后我们会发现,在你脱壳的程序目录下,会创建一个同名文件:

下面一个“unpackaged”就是我们脱壳后,得到的源程序文件,运行一下可以正常运行:

打开PEiD,检测一下脱壳后的程序,查看结果:

程序的查询结果是“Microsoft Visual C++ 7.0”。

OK,这就表示我们脱壳成功了!哈哈。

还有,注意源程序和脱壳后程序的体积,会发现相差很多,这就是典型的压缩壳。

教程中使用的工具大家可以在“我的小站 - 孤影科技”的软件工具下载版块找到。

这个使用工具脱壳很简单,我稍后会给大家抽时间录一个手动脱壳的视频教程,教程没有什么技术含量,不过还是希望大家赞一下啦。算是个鼓励吧。呵呵。

不懂的或者需要工具的也可以留言邮箱。

时间: 2024-10-24 09:18:23

使用PEid脱PECompact壳 0基础实战的相关文章

手动脱PeCompact 2.20壳实战-吾爱破解培训第一课选修作业四

作者:Fly2015 PeCompact壳又是一个没有听说过的壳,需要脱壳的程序是吾爱破解培训的第一课的选修作业四.最近对脱壳有点上瘾了,当然也遭受了脱壳受挫的无奈,但是比较幸运还是把这个壳给搞了. 对加壳程序进行查壳. 工具DIE显示程序加的是PeCompact壳,并且原来没加壳的程序使用Microsoft Visual C/C++(2008)编写的,这一点对于查找原程序的真实OEP非常有帮助. OD载入加壳的程序进行分析,加壳程序的入口点的汇编代码. F8走了几步,坑啊,写壳的作者在代码中设

手动脱KBys Packer(0.28)壳实战

作者:Fly2015 吾爱破解培训第一课选修作业第5个练习程序.在公司的时候用郁金香OD调试该加壳程序的时候出了点问题,可是回家用吾爱破解版的OD一调试,浑身精神爽,啥问题也没有. 首先使用查壳工具对加壳的程序进行查壳操作. OD加载须要脱壳的程序进行动态调试和分析,加壳程序入口点反汇编快照. F8单步跟踪程序几步,发现了比較熟悉的PUSHAD指令,又能够轻松的使用ESP定律进行程序的脱壳了. F8单步到指令PUSHAD的下一条指令,ESP寄存器右键设置HW Break硬件写入断点,F9畅快的执

手动脱KBys Packer(0.28)壳实战--吾爱破解培训第一课选修作业五

作者:Fly2015 吾爱破解培训第一课选修作业第5个练习程序,在公司的时候用郁金香OD调试该加壳程序的时候出了点问题,但是回家用吾爱破解版的OD一调试,浑身精神爽,啥问题也没有. 首先使用查壳工具对加壳的程序进行查壳操作. OD载入需要脱壳的程序进行动态调试和分析,加壳程序入口点反汇编快照. F8单步跟踪程序几步,发现了比较熟悉的PUSHAD指令,又可以轻松的使用ESP定律进行程序的脱壳了. F8单步到指令PUSHAD的下一条指令,ESP寄存器右键设置HW Break硬件写入断点,F9畅快的运

Java 入门课程视频实战-0基础 上线了,猜拳游戏,ATM实战,欢迎围观

Java 入门课程视频实战-0基础 已经上传完了.欢迎小伙伴们过来围观 直接进入: http://edu.csdn.net/course/detail/196 课程文件夹例如以下: 1 初识Java  19:08 2 熟悉Eclipse开发工具  12:42 3 Java语言基础  17:39 4 流程控制  14:53 5 数组  14:44 6 字符串  34:32 7 类和对象  29:30 8 猜拳游戏  33:39 9 模拟银行柜员机程序  36:35 10 退休金结算程序  本课程由

手动脱RLPack壳实战--吾爱破解培训第一课选修作业七

作者:Fly2015 吾爱破解论坛培训第一课选修作业练习的第7题.这个壳没听说过,但是脱起来比较简单,根据ESP定律即可直达光明,Dump出原来的程序. 老规矩,首先对需要脱壳的程序进行查壳处理. 使用DIE查壳的结果,程序加的是RLPack壳并且原程序是用微软编译器编译的. OD载入加壳程序进行调试分析,入口点代码反汇编快照. 看到PUSHAD指令想都不要想,直接ESP定律脱壳.F8单走一步在ESP寄存器上设置硬件写入断点,然后F9运行程序,程序自然断在刚才设置的硬件断点处. 显然JMP指令的

手动脱WinUpack 壳实战--吾爱破解培训第一课选修作业六

作者:Fly2015 吾爱破解培训第一课选修作业第6个练习示例程序.不得不重复那句话,没见过这种壳,该壳是压缩壳的一种,相对于压缩壳,加密壳的难度要大一些,特别是IAT表的修复问题上. 首先分别使用DIE和Exeinfo PE对该加壳程序进行查壳的处理. OD载入加WinUpack 壳的程序进行动态调试分析,加壳程序入口点反汇编快照. 想都不用想,看到PUSHAD直接ESP定律脱壳F8单步一步,ESP寄存器右键设置硬件写入断点.F9运行程序,程序自然的断在设置的硬件断点处,如图. 有点惊呆了,硬

手动脱NsPacK壳实战--吾爱破解培训第一课作业2

作者:Fly2015 这里脱壳的程序是吾爱破解培训的作业2,相较于作业1稍微要强一点,但是只要掌握了脱壳的ESP定律,脱这个Nspack壳并不难,不过还是蛮有意思的. 1.使用查壳软件对加壳的程序进行查壳. 使用PE Detective查壳的结果: 使用DIE查壳的结果: 2.OD载入程序进行脱壳操作 OD载入以后,被加壳程序的入口点的汇编代码,如图.很显然,加壳程序载入OD以后,发现有3个pushad指令,因此在进行程序脱壳的时候,根据ESP定律需要下3个硬件断点. 根据该加壳程序载入OD的汇

《nodejs+gulp+webpack基础实战篇》课程笔记(四)-- 实战演练

一.用gulp 构建前端页面(1)---静态构建 npm install gulp-template --save-dev 通过这个插件,我们可以像写后台模板(譬如PHP)一样写前端页面.我们首先学习一下写法. 现在我们创建一个新任务:创建一个裸的index.html文件,然后在body里面写上 ,我的年龄是:<%= age %> 下载好gulp-template,我们引用并配置 var gulp_tpl = require("gulp-template"); gp.tas

React Native 从零到高级- 0基础学习路线

React Native QQ交流群(美团,饿了么,阿里的大神都在里面):576089067 React Native  从0 基础到高级 视频教程正在重录中,要了解最新进度可以关注菜鸟窝微信公众号(下图),旧版视频教程可以点击这里在线学习 学习路线(文章版),江清清老师出品,点击这里关注江清清 ,同时可以关注一下他的课程 基础入门:1.React Native For Android环境配置以及第一个实例2.React Native开发IDE安装及配置3.React Native应用设备运行(