chap8-5-4.htm.primary

加密与解密,软件加密保护技术与解决方案,看雪文档!

<html>
<head>
<title>Crack Tutorial</title>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<link rel="stylesheet" href="style/css.css" type="text/css">
<link rel="stylesheet" href="../STYLE/Css.css" type="text/css">
</head>

<body bgcolor="white" text="#000000" link="#004080" vlink="#004080" background="../image/Back.gif">
<p><a href="../catalog.htm">目录</a>＞＞第8章</p>
<p align="center" class="shadow1Copy"><b class="p3">第8章 压缩与脱壳</b></p>
<table width="80%" border="0" cellspacing="0" cellpadding="3" align="center" bgcolor="#bcbcbc" bordercolor="#111111" class="shadow1">
  <tr> 
    <td class="shadow1" width="20%"> 
      <div align="center"><a href="Chap8-1.htm"><font color="#FFFFFF">第一节 PE文件格式</font></a></div>
    </td>
    <td class="shadow1" width="20%"> 
      <div align="center"><a href="Chap8-2.htm"><font color="#FFFFFF">第二节 认识脱壳</font></a></div>
    </td>
    <td class="shadow1" width="20%"> 
      <div align="center"><a href="Chap8-3-1.htm"><font color="#FFFFFF">第三节 自动脱壳</font></a></div>
    </td>
    <td class="shadow1" width="20%"> 
      <div align="center"><a href="Chap8-4.htm"><font color="#FFFFFF">第四节 手动脱壳</font></a></div>
    </td>
    <td class="shadow1" width="20%"> 
      <div align="center"><a href="Chap8-5.htm"><font color="#FFFFFF">第五节 脱壳高级篇</font></a></div>
    </td>
  </tr>
</table>
<p align="center"><span class="p9"><b>第五节 脱壳高级篇</b></span></p>
<table border="1" width="80%" cellpadding="5" bordercolor="#111111" bgcolor="#efefef" align="center" cellspacing="0">
  <tr> 
    <td width="33%" valign="middle" align="center" class="p9" height="23"> 
      <div align="left"><span class="p9"><span class="p9">　<span class="p9">1、<a href="Chap8-5-1.htm">认识Import表</a></span></span></span></div>
    </td>
    <td valign="middle" align="center" class="p9" height="23" width="34%"> 
      <div align="left"><span class="p9"><span class="p9"><span class="p9">　</span>2、<a href="Chap8-5-2.htm">Import表的重建</a></span></span></div>
    </td>
    <td valign="middle" align="center" class="p9" height="23" width="33%"> 
      <div align="left"><span class="p9"><span class="p9">　3、<a href="Chap8-5-3.htm">IceDump和NticeDump使用</a></span></span></div>
    </td>
  </tr>
  <tr> 
    <td width="33%" valign="middle" align="center" class="p9" height="23"> 
      <div align="left"><span class="p9"><span class="p9">　<span class="p9"></span></span></span>4、<a href="Chap8-5-4.htm">Import 
        REConstructor使用</a></div>
    </td>
    <td valign="middle" align="center" class="p9" height="23" width="34%"> 
      <div align="left"><span class="p9"><span class="p9"><span class="p9">　</span>5、<a href="Chap8-5-5.htm">ASProtect保护</a></span></span></div>
    </td>
    <td valign="middle" align="center" class="p9" height="23" width="33%"> 
      <div align="left"><span class="p9">　　</span></div>
    </td>
  </tr>
</table>
<p align="center"><b> 　4、Import REConstructor使用 </b></p>
<p> <span class="p9">　　</span> Import REConstructor可以从杂乱的IAT中重建一个新的Import表（例如加壳软件等），它可以重建Import表的描述符、IAT和所有的ASCII函数名。用它配合手动脱壳，可以脱UPX、CDilla1、PECompact、PKLite32、Shrinker、ASPack, 
  ASProtect等壳。该工具位于：光盘\tools\PE tools\Rebuilders\Import REConstructor。<br>
  在运行Import REConstructor之前，必须满足如下条件：<br>
  1） 目标文件己完全被Dump到另一文件；<br>
  2） 目标文件必须正在运行中；<br>
  3） 事先要找到真正的入口点（OEP）；<br>
  4） 最好加载IceDump，这样建立的输入表较少存在跨平台的问题。</p>
<p>步骤如下：</p>
<p> （1）找被脱壳的入口点（OEP）；<br>
  （2）完全Dump目标文件；<br>
  （3）运行Import REConstructor和需要脱壳的应用程序；<br>
  （4）在Import REConstructor下拉列表框中选择应用程序进程； <br>
  （5）在左下角填上应用程序的真正入口点偏移（OEP）；<br>
  （6）按&quot;IAT AutoSearch&quot;按钮，让其自动检测IAT位置， 出现&quot;Found address which may 
  be in the Original IAT.Try 'Get Import'&quot;对话框，这表示输入的OEP发挥作用了。<br>
  （7）按&quot;Get Import&quot;按钮，让其分析IAT结构得到基本信息；<br>
  （8）如发现某个DLL显示&quot;valid :NO&quot; ，按&quot;Show Invalids&quot;按钮将分析所有的无效信息，在Imported 
  Function Found栏中点击鼠标右键，选择&quot;Trace Level1 (Disasm)&quot;，再按&quot;Show Invalids&quot;按钮。如果成功，可以看到所有的DLL都为&quot;valid:YES&quot;字样； 
  <br>
  （9）再次刷新&quot;Show Invalids&quot;按钮查看结果，如仍有无效的地址，继续手动用右键的Level 2或3修复；<br>
  （10）如还是出错，可以利用&quot;Invalidate function(s)&quot;、&quot;Delete thunk(s)&quot;、编辑Import表（双击函数）等功能手动修复。<br>
  （11）开始修复已脱壳的程序。选择Add new section (缺省是选上的) 来为Dump出来的文件加一个Section(虽然文件比较大，但避免了许多不必要的麻烦) 
  。<br>
  （12）按&quot;Fix Dump&quot;按钮，并选择刚在（2）步Dump出来的文件，在此不必要备份。如修复的文件名是&quot;Dump.exe&quot;，它将创建一个&quot;Dump_.exe&quot;，此外OEP也被修正。<br>
  （13）生成的文件可以跨平台运行。</p>
<p align="center"><a href="../Catalog.htm"><img src="../image/navtoc.gif" width="84" height="23" border="0"></a><a href="Chap8-5-3.htm"><img src="../image/Navprev.gif" width="80" height="23" border="0"></a><a href="Chap8-5-5.htm"><img src="../image/navnext.gif" width="83" height="23" border="0"></a></p>
<hr width=735>
<div align="center"><span class="p9"><font size="2"><span class="p9"><font size="2"><span class="p9">Copyright 
  &copy; 2000-2001 <a href="http://www.pediy.com/">KanXue Studio</a> All Rights 
  Reserved.</span></font></span></font></span></div>
</body>
</html>