|
請幫我把這檔案脫殼
我想學習中文化zonealarm 防火牆,想參考這兩個中文化檔,但是他有加殼,我學老半天也不會脫殼,可否拜託哪為好新人幫我把他脫殼,謝謝..
http://myweb.hinet.net/home13/denny0125/za.rar |
那些看起來沒有加殼過
用 VC++ 的 Depends 工具可以看到裡面用的 API涵式 也就是 .dll 檔,所以應該是沒有加殼過 用 Resource Modifier 欲開啟得到 沒有資源 的訊息 |
有假殼 !
檔頭排序不正確,可以使用 PE Explorer 重排一次, 存檔就正常了. 或留下郵址. |
感謝兩位版大相助,我的信箱在底下,
bomber_emails@pchome.com.tw 另外請問哪裡找的到脫殼的相關教學啊, 我很想學習中文化,但是我不懂VC++ 等程式,(汗!) 這樣能學會加殼脫殼嗎? |
基本上下一個 UPX-iT 就可脫殼90% 以上的加殼檔
再用資源修改工具來中文化 如想要加殼回去 看是直接使用 Aspack (最常用的加殼格式) 或先用某工具得知 原加殼檔 使用的是哪種加殼格式 再用對應的加殼工具加殼回去 (因為個人不做這種無意義的事,所以工具就...) 說真的今天個人才知道有 假殼 這種東西 ^^|| Eric Chen 兄提到的 PE Explorer 推薦一個 pdump 執行後可看到一按鈕 PE Editor 對 tutorwiz_loc0404.dll 開啟 名詞解釋: RVA,Relative Virtual Address 解釋: PE 格式 執 行 檔 中 有 許 多 資 料 的 位 址 都 是 以RVA 表 示 。 簡 單 的 來說RVA 是 某 一 項 資 料 從 檔 案 被 映 射 進 來 的 起 點 算 起 的 偏 移值 (offset ) 。 舉 個 例 子 , 我 們 說Windows 載 入 器 把 一 個PE 格式 執 行 檔 檔 映 射 到 虛 擬 位 址 空 間0x400000 處 , 如 果 在 此 執行 檔 中 有 一 個 函 式 的 函 式 指 標 起 始 於0x40C000 , 那 麼 這 個函 式 指 標 的RVA 就 是0x C000 : 虛 擬 位 址 (0x40C000 ) ─ 基 底 位 址 (0x400000 ) = RVA (0xC000 ) 只 要 把 相 對 虛 擬 位 址 加 上 基 底 位 址 , 相 對 虛 擬 位 址 就可 以 被 轉 換 為 一 個 有 用 的 指 標 。 『 基 底 位 址 』(Base Address) 也 是 另 一 個 重 要 名 詞 , 通 常 基 底 位 址 是 用 來 描 述 被 映 射到 記 憶 體 中 的EXE 或DLL 的 起 始 位 址 。 Section 包 含 意 義 .text 應 用 程 式 或DLL 的 程 式 碼 這 個section 包 含 了 一 般 性 的 程 式 碼 ,就 是 先 前 提 到 的 除 了 自 己 所 撰 寫 的 程 式 碼 外 還 有Runtime Library 的 程 式 碼 。 .data 具 有 初 始 值 的 資 料 這 個section 存 放 了 在 編 譯 時 期 就 已 經具 有 初 始 值 的 資 料 ; 包 括 了 全 域 變 數 (global variable ) 、靜 態 變 數 (static variable ) 以 及 ”Hello World ” 這 一 類 字 串等 等 … 。 .tls 執 行 緒 內 部 儲 存 空 間 thread local storage .idata 輸 入 名 稱 表 這 個section 包 含 了 有 『 從 其 他DLLs 中輸 入 過 來 的 函 式 與 資 料 』 的 相 關 資 訊 。 .edata 輸 出 名 稱 表 這 個section 恰 好 與.idate 相 反 , 是 存 放了 由 此EXE 或DLL 輸 出 給 外 頭 使 用 的 函 式 與 資 料 的 相 關 資 訊。 .rsrc 資 源 若 你 使 用 過Microsoft Visual C++ 或 是Borland Resoure Workshop 來 觀 察 過EXE 或DLL , 你 所 看 到 的 那 些resource date 就 是 儲 存 在 這 個section 裡 。 也 就 是 編 譯 器 將 應 用 程 式 所 需要 用 到 的resource date 都 整 理 好 一 起 放 到 這 個section 裡 頭 。 .reloc 修 正 表 資 訊 這 個section 裡 頭 含 有 一 個base relocationsg 是 一 個 調 整 值 , 先 前 說 過 當 …. 會 , 但 若 無 法 載 入 到 預 設的 位 址 , 就 會 依 據 這 個 調 整 值 來 作 調 整 。 ================ 其實中文化沒這麼難 因為您那個例子比較特殊才會延伸這些專業知識的問題 資源修改工具 個人喜歡用 Resource Hacker 原因可修改控制項大小、位置... 而且記得PCHome (Toget 軟體下載)就可找到中文版 |
偵測檔案是否有加殼的工具,用這個也不錯:
軟體名稱 : PEiD v0.93 繁體中文化版  軟體說明 : 一個可以偵測到 476 種 .exe .dll 的加殼或壓縮使用方式的工具, 可偵測及列出加殼或壓縮後的基本檔案資料,程式包含一個很強的 一般脫殼器,外掛一個很強的 OEP 搜尋器、和 UPX、FSG 脫殼器. 中文化版, 右按滑鼠-另存目標下載 : peid093b_cht.zip (377.K) 引用:
要求標準檔頭資訊的工具是不會強行開啟,上面的檔案用 Exescope 4.21 還是可以打開它. |
|
感謝各位高手指教 真是受益良多
|
引用:
|
| 所有時間均為台北時間。現在的時間是 03:43 PM。 |
Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2025, Jelsoft Enterprises Ltd.
『服務條款』
* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *