發新話題

[分享] 中文化教學 - EXE、DLL 檔案的脫殼

中文化教學 - EXE、DLL 檔案的脫殼

  我們在軟體中文化時,經常會發現這種情況。用eXeScope 開啟 EXE、OCX 或 DLL 文件,開啟文件正常,可以看到具體的資源項和資源幾項,明明看到有選單、對話框、字串、RCData、游標、圖示、點陣圖等資源存在。但單擊資源幾項,想查看幾項的內容時,出現這樣的訊息視窗 (如圖1) ,無法查看資源幾項內容。


這是因為文件使用了一些壓縮加殼軟體加密過,這就需要對文件進行解壓脫殼處理後,才能中文化。這種壓縮與我們平時接觸的壓縮工具如winzip,winrar等壓縮不同,winzip壓縮後的文件不能直接執行,而這種 EXE 壓縮軟體,EXE文件壓縮後,仍可以執行。這種壓縮工具把文件壓縮後,會在文件開頭一部分,加了一段解壓代碼。執行時該文件時,該代碼先執行解壓還原文件,不過這些都是在記憶體中完成的,由於微處理器速度快,我們基本感覺不出有什麼不同。這樣的程式很多,如 The bat,Acdsee,Winxfile等等。

  這種壓縮加殼屬於軟體加密,現在越來越多的軟體經過壓縮處理,給我們中文化帶來許多不便,軟體中文化愛好者也不得不學習掌握這種技能。現在脫殼一般分手動和自動兩種,手動就是用TRW2000、TR、SOFTICE等調試工具對付,對脫殼者有一定水平要求,涉及到很多編譯語系和軟體調試方面的知識。而自動就是用專門的脫殼工具來脫,最常用某種壓縮軟體都有他人寫的反壓縮工具對應,有些壓縮工具自身能解壓,如UPX;有些不提供這功能,如: ASPACK ? v1.62 ,可對付目前各種壓縮軟體的壓縮檔。在這裡介紹的是一些通用的方法和工具,希望對大家有幫助。

偵測殼的類型:

  我們知道文件被一些壓縮加殼軟體加密,下一步我們就要分析加密軟體的名稱、版本。因為不同軟體甚至不同版本加的殼,脫殼處理的方法都不相同。這類查殼的工具很多,我這裡介紹大家使用 訪客無法瀏覽此圖片或連結,請先註冊或登入會員 (簡稱 Fi),它是一個文件格式分析器,除了用來查殼,還有很多功能,我們在以後中文化教學還會接觸它。由於 Fi 是使用dos命令格式,因此您必須在“我的電腦”的地址欄中操作 (如果您還沒有升級到IE4.0以上,您可能要在“開始” ? ?“執行”中進行操作) ,操作如下:
  首先我們把要分析的文件複製到 Fi的目錄,確定是在 Fi的目錄下,然後在“我的電腦”地址欄中輸入以下的命令: fi 文件名.副檔名 (例: fi acdsee.exe )


出現如下界面 (見圖 ) : 哦,原來是用Aspack1.804加密的: -)


  我們知道文件的加密方式,就可以使用不同的工具、不同的方法進行脫殼。下面是我們軟體中文化時常常會碰到的加殼方式及簡單的脫殼措施,供大家參考: -)

(1)Aspack: 用的最多,但只要用UNASPACK或PEDUMP32脫殼就行了
(2)ASProtect+aspack: 次之,國外的軟體多用它加殼,脫殼時需要用到SOFTICE+ICEDUMP,需要一定的專業知識,但最新版現在暫時沒有辦法。
(3)Upx: 可以用UPX本身來脫殼,但要注意版本是否一致,用-D 參數
(4)Armadill: 可以用SOFTICE+ICEDUMP脫殼,比較煩
(5)Dbpe: 國內比較好的加密軟體,新版本暫時不能脫,但可以破解
(6)NeoLite: 可以用自己來脫殼
(7)Pcguard: 可以用SOFTICE+ICEDUMP+FROGICE來脫殼
(8)Pecompat: 用SOFTICE配合PEDUMP32來脫殼,但不要專業知識
(9)Petite: 有一部分的老版本可以用PEDUMP32直接脫殼,新版本脫殼時需要用到SOFTICE+ICEDUMP,需要一定的專業知識
(10)WWpack32: 和PECOMPACT一樣其實有一部分的老版本可以用PEDUMP32直接脫殼,不過有時候資源無法修改,也就無法中文化,所以最好還是用SOFTICE配合 PEDUMP32脫殼


[ 本帖最後由 sendoh96 於 2007-5-29 16:16 編輯 ]

TOP

^^

謝謝分享~
3Q~
本帖最近評分記錄
  • aska110169 經驗 -5 複製文灌水 2007-5-22 04:24
  • aska110169 金幣 -5 複製文灌水 2007-5-22 04:24

TOP

圖好像失連了喔........

TOP

引用:
原帖由 鹹淡超人 於 2007-5-22 02:40 發表 訪客無法瀏覽此圖片或連結,請先註冊或登入會員
圖好像失連了喔........
圖片部分已刪除,但是主要內容部份說明的很詳細喔!!

TOP

工具繁多加上又是入門初學..........
只能慢慢吸收,先說謝謝了。

TOP

發新話題