PE編輯工具ProcDump32

一款老式的PE編輯器。可惜不更新了，己過時(shí)，現(xiàn)階段一般只用來作為PE編輯工具使用。推薦用LordPE其他工具代替它。一個(gè)被大眾所推薦的執(zhí)行文件壓縮解殼程序，我使用之后覺得還可以

ProcDump32 PE解包器/解密器一款老式的PE編輯器�？上Р桓�新了，己過時(shí)，現(xiàn)階段一般只用來作為PE編輯工具使用。可對(duì)付目前各種壓縮軟件的壓縮檔。在這里介紹的是一些通用的方法和工具，希望對(duì)大家有幫助。我們知道文件的加密方式，就可以使用不同的工具、不同的方法進(jìn)行脫殼。下面是我們常常會(huì)碰到的加殼方式及簡(jiǎn)單的脫殼措施，供大家參考： 脫殼的基本原則就是單步跟蹤，只能往前，不能往后。

脫殼的一般流程：

查殼->尋找OEP->Dump->修復(fù) 找OEP的一般思路如下： 先看殼是加密殼還是壓縮殼，壓縮殼相對(duì)來說容易些，一般是沒有異常，找到對(duì)應(yīng)的popad后就能到入口，跳到入口的方式一般為。 我們知道文件被一些壓縮加殼軟件加密，下一步我們就要分析加密軟件的名稱、版本。因?yàn)椴煌�軟件甚至不同版本加的殼，脫殼處理的方法都不相同�?/p>

脫殼說實(shí)例：

用 Procdump 1.50  來剝 ASPACK 1.07b 的殼 :   

1. 首先，當(dāng)然也是把 Procdump 解壓縮到剛剛的目錄 (C:\TRY)   

2. 執(zhí)行 Procdump ，你會(huì)看到如下的視窗 :   

3. 因?yàn)槲覀円獎(jiǎng)儦�，所以按�?Unpack( 其他的按鈕是干什么的，我也不清楚，大概是跟 WIN 的 PE 執(zhí)行檔有關(guān)的吧 ):   

4. 由剛剛 TYP 偵測(cè)得知， CWView2000 是用 Aspack 1.07b 加的殼，所以理所當(dāng)然的我們要選擇  [Aspack<108] ，選好后，按下 OK( 要選對(duì)喔，選錯(cuò)會(huì)剝不出來 ):   

5. 此時(shí)， ProcDump 會(huì)要求你開啟你要?jiǎng)儦さ膱?zhí)行檔，當(dāng)然，我們要把路徑指到 c:\try\cwview32.exe   

6. 緊接著馬上會(huì)出現(xiàn)如下的視窗，此時(shí)，千萬(wàn)不要按下 [ 確定 ] 。稍微等一下，有耐心一點(diǎn)，你馬   上就會(huì)看到 CWView2000 被呼叫執(zhí)行了，此時(shí)，將視窗切換至 CWView ，隨便使用一二個(gè)   功能，然后在不要關(guān)掉 CWView2000 之下，按下 [ 確定 ] 鈕。 ( 這個(gè)按鈕是當(dāng)程式 [ 完全 ] 被載入以后，才要按的 )   

上面這個(gè)步驟很重要，如果心急亂按或亂關(guān)，你就得重來了。   

7. 按下 [ 確定 ] 后沒多久，會(huì)出現(xiàn)下面的視窗，并且此時(shí) cwview 會(huì)自動(dòng)被關(guān)掉，然后開始剝殼   運(yùn)算，當(dāng)出現(xiàn) Step by step analyzis activated ... 時(shí)，過不久， Prucdump 就會(huì)要求你鍵入要輸出的   檔名 ( 也就殼剝掉以后，原始的卵要存成什么檔名 ) ，我這里舉例成 unshell.exe ，此時(shí)，也代表剝殼成功 !!