手动脱壳入门第九篇Pepack 1.0(图)

手动脱壳入门第九篇Pepack 1.0

【脱文标题】 手动脱壳入门第九篇Pepack 1.0

【脱文作者】 weiyi75[Dfcg]

【作者邮箱】 weiyi75@sohu.com

【作者主页】 Dfcg官方大本营

【使用工具】 Peid,Ollydbg

【脱壳平台】 Win2K/XP

【软件名称】 pepack1.0加壳的Win98的记事本

【软件简介】 You are actually reading the documentation of the very best Portable Executable Packer around the world. I have compared PEPACK to all the other PE packers I know off: PETITE, PECRYPT, WWPACK32, SHRINKER, STNPEE... And I can proudly say, that PEPACK beats up all of them.Off course PEPACKed files can be unpacked with PROCDUMP, but this is only a PACKER! not a protector!JUST ONE IMPORTANT THING: DO NOT THINK YOUR PC HAS LOCKED UP! COMPRESSION IS VERY SLOW. 1MB IN 30-60 SEC. BUT DECOMPRESSION IS FUCKING FAST!!!I MAYBE WILL CHANGE THE INTERFACE IN THE NEXT VERSION...

【软件大小】 18.9 KB

【加壳方式】 PE Pack 1.0 -> ANAKiN

【保护方式】 PE Pack

【脱壳声明】 我是一只小菜鸟，偶得一点心得，愿与大家分享：

软件截图.

我们直接在Dos界面下运行pepack.exe,软件提示语法和参数，通常选默认值就可以了。
我们将Win98的记事本拷到Pepack目录同一层，然后在Dos界面输入
pepack nottepad.exe
回车后记事本就加了一层壳,呵呵，连图标都压没了。
首先必须的工具要准备好
脱壳目标，pepack1.0加壳的记事本。

安装软件后用Peid测NOTEPAD.EXE的壳为PE Pack 1.0 -> ANAKiN。
手动脱壳建议大家用Ollydbg,工作平台Win2000,WinXp,Win9x不推荐。
手动脱壳时，用Olldbg载入程序,脱壳程序里面会有有好多循环。对付循环时，只能让程序往前运行，基本不能让它往回跳，要想法跳出循环圈。不要用Peid查入口，单步跟踪，提高手动找入口能力。

用OD载入程序后。
确定一个入口警告，然后Od提示程序加壳，选不继续分析。
停在这里
00403235 > /74 00 JE SHORT NOTEPAD.00403237
开始地点,和我们平时看到的Pushad等不同。怎样找Oep呢,只能在程序跨段跳跃时，地址变化很大时寻找Oep,一般通过Jmp,Ret等语句跨段,和Ezip有点像。
00403237 -\E9 C49D0000 JMP NOTEPAD.0040D000 跳走。

[1] [2] [3] [4] 下一页