|
|
|
|
|
|
|
|
|
[求助]PKlite for DOS的壳怎么脱啊?
这个软件的说明非常详细,先摘录一段: ┏━━━━━┓ ┃<->前言┃ ┗━━━━━┛ ┏━━━━━━━━━━━━━━━━━━━━━━━━━┓ ┃ ┃ ┃ 作 者: 熊 焰 ┃ ┃ ┃ ┃ 地 址:广东省佛山市同济西路5号 ┃ ┃ 佛山教育学院兆华科技开发公司 ┃ ┃ ┃ ┗━━━━━━━━━━━━━━━━━━━━━━━━━┛ RCOPY03是一个用于将内存中的二进制代码重建为EXE文件的通用工具软 件。 我们知道,一个可执行文件(即EXE或COM文件),在执行过程中任一时刻的 走向,仅与内存当时的状态有关,而与程序早期的遍历无关,因而根据这一点,把内存 当时的有关现状保留下来便不难在往后恢复程序的运行。本人早期的RCOPY02程 序就根据这一原理而设计,并得到了广泛的应用。但是,由于RCOPY02保存现场 的时刻是由人为敲键控制,并且是单纯地保留现场,因而被其保留的现场只能在相同的 硬件环境下使用,使RCOPY02的应用受到了很大的限制。近年来,许多热心的用 户来信,希望能克服RCOPY02拷贝出来的副本受DOS版本、显示方式、及其他 硬件环境限制的缺点,早日推出新版本。近日得闲,花了两个多月时间,作出这一03 版本,估计短期内将可满足大部分用户的要求。当然,此后不久,防RCOPY03的 软件自然也会出现,这样此消彼长地促进工具软件的设计方法,也是作者最大的心愿。 为了说明RCOPY03的工作原理,以使你能更得心应手地运用该软件,我们且 来先看看什么是“加壳”软件(没有统一名称,姑且称为“加壳”软件)。 当我们用常规的C、PASCAL、汇编等语言编制了一个应用程序之后,最后都 将编释成一个可执行的EXE或COM文件,这种文件的执行流程若非人工精心地打“ 补丁”,很难修改。这样,当一些文件型病毒或加密工具等对其进行感染或加密时,只 能是先将这种二进制代码进行复杂的变换,然后另外加上一段自己的用于逆变换的程序 ,这段程序通常是防跟踪的。这样,你要执行原来的程序,必须得先执行这段附加的程 序,我们把这段附加的程序称之为程序的“壳”。对病毒程序而言,这种“壳”通常的 作用在于设置一些中断,以便于往下感染其他的可执行文件或干脆在运行“壳”时就感 染其他文件。而对于加密工具来说,“壳”的作用就在于读软、硬盘上的“指纹”、各 种软件狗或加密卡上的“密码”等。一旦“壳”运行正常,再解码原来的可执行文件, 才能使之正常执行。 显然,作为“壳”的作者来说,为了使其的“加壳”程序通用,不可能对被加壳程 序提出过高的环境要求,也不可能改变被加壳程序的结构。而且不管“外壳”包得如何 严密,它最终在内存中必需老老实实地把原程序自动还原。否则,被“加壳”的程序便 不能运行。因而,这就使RCOPY03有了可趁之机,RCOPY03就是在被加壳 程序运行到已解码的适当阶段,把内存中的二进制代码整理出一个EXE文件来,从而 得到一个已去“壳”的可执行程序。以后这个已去壳的程序运行时,就无需再经过这段 “壳”程序的运行过程了,从而达到杀毒或解密的目的。 那么,RCOPY03如何选择程序已去壳并已解码的关键点呢? 我们知道,DOS操作系统为我们提供了丰富的中断功能,一般应用程序必须输入 、输出或显示。这些操作通常都是使用DOS或BIOS的中断来实现,RCOPY0 3就是通过在目标程序运行的过程中截取指定的目标程序所使用的任何一个中断,来截 获内存中的已解码程序.为了便于选择合适的中断点,RCOPY03也提供了观察目 标程序中断调用序列的手段。这样,在选择好一个合适的中断点后,RCOPY03便 会在该中断点处开始,重建一个可执行的EXE文件,从而自动完成对“加壳”程序的 “去壳”过程。 由于RCOPY03重建的是一个可重定位的EXE文件,因而,只要所选择的中 断截取点足够早,则经RCOPY03解码的文件可在任何与原程序相同的其他环境下 使用,不再像RCOPY02所拷贝的付本那样,只能在和原来一样的环境下使用。 熟谙解密的用户可能注意到,有些加密工具(如各种软件狗)还提供了供用户链接 到源文件中的OBJ加密模块.这样的程序显然不能企图通过RCOPY03一次性地 解密,但是,由于这种程序在经RCOPY03去壳之后,一般不再具有防跟踪的性能 (OBJ模块除外),因而对这种程序,只要先用RCOPY03去壳,然后再用一般 调试工具进行调试,找到OBJ模块的调用口,轻易地绕过去即可。当然,对于这类链 连接了OBJ模块的程序,已不属于“由工具对可执行程序加密的程序”的范围,但R COPY03为这种程序的解密也提供了及大的方便,因为它已剥除了程序中最难处理 的防跟踪外壳。 知道了RCOPY03的工作原理后,我们再来看下面各项操作步骤的含义便容易 理解了。 |
|
[求助]PKlite for DOS的壳怎么脱啊?
不知道谁还用过RCOPY这个工具。 在DOS时代,我经常用它脱一般未知壳,效果不错。 RCOPY其实就是一个用于将内存中的二进制代码重建为EXE文件的通用工具软件。 有人想要,我可以发上来。 |
|
Upack 0.23beta(压缩率极强的国产PE壳)
MCAFEE本来查壳数量比卡巴少,竟然还经常误报。 MEW,FSG2这样的旧壳MCAFEE都查不出,而卡巴一个不漏. MCAFEE就是纯商业作品,技术不如卡巴. |
|
Upack 0.23beta(压缩率极强的国产PE壳)
我也想做GUI,不过由于现在只忙于修正bug和代码优化,以后我会写一个的. |
|
Upack 0.23beta(压缩率极强的国产PE壳)
MEW11SE还有个不好的地方:为节省区区几字节在解压代码核心处加几处跳转,使得解压速度大大降低,MEW的APLIB解压速度甚至不如其他加壳工具的LZMA解压速度. 算了,其实MEW11SE还算是不错的工具,想当年没有LZMA的时代MEW10可是压缩率顶尖的呢. |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值