使用PEid脫PECompact殼 0基礎實戰

標籤：style   http   color   os   使用   ar   for   檔案   sp   

最近給大家發了一個PEiD查殼工具，可能對於新手並不知道這個東西是幹什麼的。

正好給大家操作一下它的使用。

PEiD是現在最流行的查殼工具，所謂的“殼”說白了就是給程式套上的一層“護罩”，大概可分為兩種：壓縮殼和保護殼。

保護殼就是可以保護程式不會被反編譯工具直接查看到代碼，起到混淆的作用。
壓縮殼就是可以使來源程式體積減小，同樣也可以實現加密的效果。

所以，殼也分為很多種，比如常見的UPX、ASPack等等。

當然，殼可以加，也可以“脫”。呵呵。

好了，廢話不多說，下面我就用PEiD示範一下怎麼查殼，並脫殼，還原程式原本的樣子。


有的時候，我們想反編譯某個程式，會發現如下提示：

提示“損壞的資源（可能是壓縮或加密檔案）”。

這樣的程式幾乎都是被加過殼的。

在這裡，我做示範的程式是PEiD自己（因為它自己也是被加過殼的，正好我就用它自己做示範了。呵呵）。

首先，開啟PEiD查殼工具：


然後，把要查殼的程式(在這裡也就是PEiD)拖放到上面開啟，會看到如下結果：


沒有提示說這個軟體是使用什麼工具或什麼語言編寫的，那麼很明顯，這個程式就是被加過殼的。
注意紅色箭頭所標註的地方，直接查出殼的類型：“PECompact 2.x -> Jeremy Collake”。
也就是添加的“PECompact 2.x”版本的殼。

這個殼屬於壓縮殼，怎麼脫呢？直接使用對應類型的脫殼工具就行了。

在這裡，我們使用“PECompact 2.x”的脫殼工具對其進行脫殼。
我在這使用的是“PECompact 2.x-3.x 脫殼機”，開啟工具：


選擇瀏覽要脫殼的程式，在這裡我用的是PEiD做的示範，瀏覽檔案，或者直接將檔案拖拽入工具：


然後選擇“脫殼”：


然後我們會發現，在你脫殼的程式目錄下，會建立一個同名檔案：


下面一個“unpackaged”就是我們脫殼後，得到的來源程式檔案，運行一下可以正常運行：


開啟PEiD，檢測一下脫殼後的程式，查看結果：


程式的查詢結果是“Microsoft Visual C++ 7.0”。

OK，這就表示我們脫殼成功了！哈哈。

還有，注意來源程式和脫殼後程式的體積，會發現相差很多，這就是典型的壓縮殼。

教程中使用的工具大家可以在“我的小站 - 孤影科技”的軟體工具下載版塊找到。

這個使用工具脫殼很簡單，我稍後會給大家抽時間錄一個手動脫殼的視頻教程，教程沒有什麼技術含量，不過還是希望大家贊一下啦。算是個鼓勵吧。呵呵。

不懂的或者需要工具的也可以留言郵箱。

 

使用PEid脫PECompact殼 0基礎實戰