怎样脱pklite32， Shrinker 3.4 和 NeoLite加的壳（1）

脱壳----对用pklite32加壳的程序进行手动脱壳
目标文件： pklite32w.exe
加壳方式： pklite32
所用工具： trw2000 v1.22
作者： iis / 属于梦醒时分[http://hacking.wofly.com]

1.用trw2000的Loader加载加壳程序。

2.按一下f10,将停在下面的地方，
0167:00607005 PUSH DWORD 00627F84 《——停在这里,一直按f10
0167:0060700A PUSH DWORD 00
0167:0060700F CALL 00627F84
0167:00607014 JMP 004117B0 《——执行完这个指令，执行命令makepe 文件名
0167:00607019 INC EAX
0167:0060701A SUB [EBX],AH

3.脱壳成功。


脱壳----对用Shrinker 3.4加壳的程序进行手动脱壳

加壳方式： Shrinker 3.4
所用工具： trw2000 v1.22
作者： iis / 属于梦醒时分[http://hacking.wofly.com]
1.用trw2000的Loader加载加壳程序。

2.按一下f10,将停在下面的地方，

0167:004365AF PUSH EBP 《——停在这里
0167:004365B0 MOV EBP,ESP
0167:004365B2 PUSH ESI
0167:004365B3 PUSH EDI
0167:004365B4 JNZ 00436621
0167:004365B6 PUSH DWORD 0100
0167:004365BB CALL 004370D1

3.一直按f10,

0167:00436619 CALL `KERNEL32!GetModuleFileNameA`
0167:0043661F JMP SHORT 00436624
0167:00436621 MOV ESI,[EBP+08]
0167:00436624 CALL 00435000
0167:00436629 PUSH DWORD [EBP+10]
0167:0043662C PUSH DWORD [EBP+0C]
0167:0043662F PUSH ESI
0167:00436630 CALL 0043663B 《——按f8进入
0167:00436635 POP EDI
0167:00436636 POP ESI
0167:00436637 POP EBP
0167:00436638 RET 0C