PE編輯工具ProcDump32

一款老式的PE編輯器�？上Р桓铝�，己過時，現(xiàn)階段一般只用來作為PE編輯工具使用。推薦用LordPE其他工具代替它。一個被大眾所推薦的執(zhí)行文件壓縮解殼程序，我使用之后覺得還可以

ProcDump32 PE解包器/解密器一款老式的PE編輯器�？上Р桓铝�，己過時，現(xiàn)階段一般只用來作為PE編輯工具使用�？蓪Ω赌壳案鞣N壓縮軟件的壓縮檔。在這里介紹的是一些通用的方法和工具，希望對大家有幫助。我們知道文件的加密方式，就可以使用不同的工具、不同的方法進(jìn)行脫殼。下面是我們常常會碰到的加殼方式及簡單的脫殼措施，供大家參考： 脫殼的基本原則就是單步跟蹤，只能往前，不能往后。

脫殼的一般流程：

查殼->尋找OEP->Dump->修復(fù) 找OEP的一般思路如下： 先看殼是加密殼還是壓縮殼，壓縮殼相對來說容易些，一般是沒有異常，找到對應(yīng)的popad后就能到入口，跳到入口的方式一般為。 我們知道文件被一些壓縮加殼軟件加密，下一步我們就要分析加密軟件的名稱、版本。因為不同軟件甚至不同版本加的殼，脫殼處理的方法都不相同。

脫殼說實例：

用 Procdump 1.50  來剝 ASPACK 1.07b 的殼 :   

1. 首先，當(dāng)然也是把 Procdump 解壓縮到剛剛的目錄 (C:\TRY)   

2. 執(zhí)行 Procdump ，你會看到如下的視窗 :   

3. 因為我們要剝殼，所以按下 Unpack( 其他的按鈕是干什么的，我也不清楚，大概是跟 WIN 的 PE 執(zhí)行檔有關(guān)的吧 ):   

4. 由剛剛 TYP 偵測得知， CWView2000 是用 Aspack 1.07b 加的殼，所以理所當(dāng)然的我們要選擇  [Aspack<108] ，選好后，按下 OK( 要選對喔，選錯會剝不出來 ):   

5. 此時， ProcDump 會要求你開啟你要剝殼的執(zhí)行檔，當(dāng)然，我們要把路徑指到 c:\try\cwview32.exe   

6. 緊接著馬上會出現(xiàn)如下的視窗，此時，千萬不要按下 [ 確定 ] 。稍微等一下，有耐心一點，你馬   上就會看到 CWView2000 被呼叫執(zhí)行了，此時，將視窗切換至 CWView ，隨便使用一二個   功能，然后在不要關(guān)掉 CWView2000 之下，按下 [ 確定 ] 鈕。 ( 這個按鈕是當(dāng)程式 [ 完全 ] 被載入以后，才要按的 )   

上面這個步驟很重要，如果心急亂按或亂關(guān)，你就得重來了。   

7. 按下 [ 確定 ] 后沒多久，會出現(xiàn)下面的視窗，并且此時 cwview 會自動被關(guān)掉，然后開始剝殼   運(yùn)算，當(dāng)出現(xiàn) Step by step analyzis activated ... 時，過不久， Prucdump 就會要求你鍵入要輸出的   檔名 ( 也就殼剝掉以后，原始的卵要存成什么檔名 ) ，我這里舉例成 unshell.exe ，此時，也代表剝殼成功 !!