PEiD查壳软件
UPX壳
①经过UPX压缩的win32/pe文件,包含三个区段:UPX0, UPX1, .rsrc或UPX0, UPX1, UPX2(原文件本身无资源时)。
UPX0:在文件中没有内容,它的”Virtual size”加上UPX1的构成了原文件全部区段需要的内存空间,相当于区段合并。
②UPX1:起始位置为需解压缩的源数据,目标地址为UPX0基址。紧接着源数据块是”UPX stub”,即壳代码。一个典型的pushad/popad结构,所以人们常用”ESP定律”来脱UPX。
③.rsrc/UPX2:在原文件有资源时,含有原资源段的完整头部和极少部分资源数据(类型为ICON、GROUP_ICON、VERSION和MANIFEST),以保证explorer.exe能正常显示图标、版本信息。还有就是UPX自己的Imports内容,导出表的库名和函数名(如果有的话)。
就是因为UPX是一个典型的pushad/popad结构,又要遵守堆栈平衡,即pushad之前的ESP需要跟popad之后的ESP相同,所以当我们看到UPX壳进入pushad后,对堆栈添加访问断点,当壳即将及执行结束即执行到popad要去还原堆栈时,必然会触发断点暂停下来,然后单步调试往下走,原始OEP就在附近了。
PEiD查壳软件介绍:
PEiD 可以探测大多数的 PE 文件封包器、加密器和编译器。当前可以探测 600 多个不同签名。
PEiD 是最强大的一个查壳工具。 下载地址:https://www.jb51.net/softs/32610.html
汉化包中包含了绝大多数插件,并添加了某些插件必须的库文件(mfc70.dll、msvcr70.dll、rtl70.bpl、vcl70.bpl)。
查壳目标:SWF to MP3 Converter英文版
查壳工具:PEiD
首先:您要下载SWF to MP3 Converter英文版的软件和PEiD软件。
然后。运行PEiD主程序。如下图:
图1:
看到了吗?这个就是PEiD主程序界面。
图2:
如上图所说的。点几个小数点的。那几点小数点。就是(浏览)的意思。找到您要汉化的英文版软件的主程序。看下面图3:
您找到英文版的主程序以后。点(打开)后。就会出现如下图4:
上面的图4看到了没有。说明这个软件是没有加壳的。是用Microsoft Visual C++ 6.0软件编写的。如果您查到了是aspack的。那就说明是加了aspack的壳。您可以用专门脱aspack脱壳机来脱壳。不过。用自动的脱壳机。本人觉得不理想。对于新版本。根本就无法脱壳。很多高手都是用OllyDBG V1.10 手工来脱壳的。这里我就不多说了。
如果有出现未知的壳。或别的。可以用下面的方法来看看有没有加壳。如图5:
图5:看到了吗?可以点击此处。查看有没有加壳。有些软件没有加壳。但。却无法显示出来。所以呢?我们就要再看一下。如图6:
看到上面的图6吗?按图中的说法做。点击各个按钮来查看有没有加壳。如果都没有加壳。那就可以汉化了。如果有一个加了壳。那就无法汉化。必须要脱掉。才能汉化。
象:Microsoft Visual C++ 6.0编写的软件。我们可以用:PE Explorer V1.98 R2汉化工具来汉化。也可以用:Passolo V7.0.01.1汉化工具来汉化。这里我就不多说了。
Passolo V7.0.01.1汉化工具是目前最好的汉化工具。
说明:由于现在很多软件编写用的软件。都不一样。所以呢?要看是用什么软件编写的。我们就用对应的汉化工具来汉化。如:Visual Basic 编写的软件。我们就要用VBLocalize V1.0 来汉化。现在这个软件有汉化版了。我以前有发过下载地址了。 作者:鳳舞九天