脱壳系列(一) - CrypKeySDK 壳

程序：

运行

用 PEiD 载入程序

PEid 显示找不到相关的壳

脱壳：

用 OD 载入程序

这个是壳的入口地址

因为代码段的入口地址为 00401000

这三个是壳增加的区段

按 F8 往下走程序

经过这个 call 指令的时候，运行的时间多了一会

这个 jmp 将跳转到 004271B0

按 Ctrl+A 分析代码

这个地方也在代码段内，所以这个地方就是原程序的入口点

右键 -> Dump debugged process

 

点击 Dump 保存文件，运行

可以运行

之后再用 PEiD 看一下

是 VC++5.0

这只是把入口地址还给了原程序，但是壳的代码还在原程序中

用 OD 载入 test.exe，查看 PE 文件头

打开 LordPE

点击“PE编辑器”载入 test.exe

点击“区段”

选中“Have”，右键 -> 清除区段

相继删除 Have、a nice、day!

然后点击“保存”，再点击“确定”

然后点击“重建PE”

选择 test.exe

程序缩小到原来的 91%

运行程序

用 OD 载入程序