手动脱壳入门第十三篇PKLITE32 1.1  
手动脱壳入门第十三篇PKLITE32 1.1
【脱文标题】 手动脱壳入门第十三篇PKLITE32 1.1
【脱文作者】 weiyi75[Dfcg] 
【作者邮箱】 weiyi75@sohu.com
【作者主页】 Dfcg官方大本营 
【使用工具】 Peid,Ollydbg
【脱壳平台】 Win2K/XP
【软件名称】 PKLITE32 1.1加壳的一个Win98的记事本
【软件简介】 The SHAREWARE version of PKLITE32 is intended for use on Windows 9x/NT 4.0 running on an x86/Pentium processor. If you distribute this Shareware version of PKLITE32 to friends, associates, or to a computer bulletin board (BBS), please distribute the entire installation program rather than the files contained therein. 
【软件大小】 22.3 KB
【加壳方式】 PKLITE32 1.1 -> PKWARE Inc
【保护方式】 PKLITE32
【脱壳声明】 我是一只小菜鸟，偶得一点心得，愿与大家分享：
软件截图。

程序下载地址
本地下载
首先必须的工具要准备好
脱壳目标，PKLITE32 V1.1加壳的记事本。
本地下载
软件后用PEiD测NOTEPAD.EXE的壳为PKLITE32 1.1 -> PKWARE Inc.
手动脱壳建议大家用Ollydbg,工作平台Win2000,WinXp,Win9x不推荐。
手动脱壳时，用Olldbg载入程序,脱壳程序里面会有有好多循环。对付循环时，只能让程序往前运行，基本不能让它往回跳，要想法跳出循环圈。不要用Peid查入口，单步跟踪，提高手动找入口能力。
用OD载入程序后。
确定一个错误载入警告，和WWPack32一样，难道是一个作者。然后Od提示程序加壳，选不继续分析。
停在这里
0040D000 > 68 80D04000 PUSH NOTEPAD.0040D080
0040D005 68 73154100 PUSH NOTEPAD.00411573
0040D00A 68 00000000 PUSH 0
0040D00F E8 5F450000 CALL NOTEPAD.00411573
0040D014 ^ E9 B340FFFF JMP NOTEPAD.004010CC 直接跨断跳跃到Oep处。
0040D019 40 INC EAX
0040D01A 2823 SUB BYTE PTR DS:[EBX],AH
0040D01C 2950 4B SUB DWORD PTR DS:[EAX+4B],EDX
0040D01F 4C DEC ESP
0040D020 49 DEC ECX
.................................................................
004010CC 55 PUSH EBP 我们熟悉的入口点，我们在这里用Od的Dump插件直接脱壳。
004010CD 8BEC MOV EBP,ESP
004010CF 83EC 44 SUB ESP,44
004010D2 56 PUSH ESI
004010D3 FF15 E4634000 CALL DWORD PTR DS:[<&KERNEL32.GetCommand>; kernel32.GetCommandLineA
004010D9 8BF0 MOV ESI,EAX
004010DB 8A00 MOV AL,BYTE PTR DS:[EAX]
004010DD 3C 22 CMP AL,22
004010DF 75 1B JNZ SHORT NOTEPAD.004010FC
004010E1 56 PUSH ESI
004010E2 FF15 F4644000 CALL DWORD PTR DS:[<&USER32.CharNextA>] ; USER32.CharNextA
004010E8 8BF0 MOV ESI,EAX
004010EA 8A00 MOV AL,BYTE PTR DS:[EAX]
004010EC 84C0 TEST AL,AL
重建输入表时，插件有两个选项。Method2重建输入表很快，脱壳后运行率高。Method1重建输入表慢，脱壳后运行率较低。本程序用Method1,2重建输入表后程序都可直接运行。这个壳太简单，我们什么壳都见识一下绝对有好处。
"手动脱壳入门第十三篇"脱壳动画！

  
 

  

 手动脱壳入门第十三篇PKLITE32 1.1  
手动脱壳入门第十三篇PKLITE32 1.1
【脱文标题】 手动脱壳入门第十三篇PKLITE32 1.1
【脱文作者】 weiyi75[Dfcg] 
【作者邮箱】 weiyi75@sohu.com
【作者主页】 Dfcg官方大本营 
【使用工具】 Peid,Ollydbg
【脱壳平台】 Win2K/XP
【软件名称】 PKLITE32 1.1加壳的一个Win98的记事本
【软件简介】 The SHAREWARE version of PKLITE32 is intended for use on Windows 9x/NT 4.0 running on an x86/Pentium processor. If you distribute this Shareware version of PKLITE32 to friends, associates, or to a computer bulletin board (BBS), please distribute the entire installation program rather than the files contained therein. 
【软件大小】 22.3 KB
【加壳方式】 PKLITE32 1.1 -> PKWARE Inc
【保护方式】 PKLITE32
【脱壳声明】 我是一只小菜鸟，偶得一点心得，愿与大家分享：
软件截图。

程序下载地址
本地下载
首先必须的工具要准备好
脱壳目标，PKLITE32 V1.1加壳的记事本。
本地下载
软件后用PEiD测NOTEPAD.EXE的壳为PKLITE32 1.1 -> PKWARE Inc.
手动脱壳建议大家用Ollydbg,工作平台Win2000,WinXp,Win9x不推荐。
手动脱壳时，用Olldbg载入程序,脱壳程序里面会有有好多循环。对付循环时，只能让程序往前运行，基本不能让它往回跳，要想法跳出循环圈。不要用Peid查入口，单步跟踪，提高手动找入口能力。
用OD载入程序后。
确定一个错误载入警告，和WWPack32一样，难道是一个作者。然后Od提示程序加壳，选不继续分析。
停在这里
0040D000 > 68 80D04000 PUSH NOTEPAD.0040D080
0040D005 68 73154100 PUSH NOTEPAD.00411573
0040D00A 68 00000000 PUSH 0
0040D00F E8 5F450000 CALL NOTEPAD.00411573
0040D014 ^ E9 B340FFFF JMP NOTEPAD.004010CC 直接跨断跳跃到Oep处。
0040D019 40 INC EAX
0040D01A 2823 SUB BYTE PTR DS:[EBX],AH
0040D01C 2950 4B SUB DWORD PTR DS:[EAX+4B],EDX
0040D01F 4C DEC ESP
0040D020 49 DEC ECX
.................................................................
004010CC 55 PUSH EBP 我们熟悉的入口点，我们在这里用Od的Dump插件直接脱壳。
004010CD 8BEC MOV EBP,ESP
004010CF 83EC 44 SUB ESP,44
004010D2 56 PUSH ESI
004010D3 FF15 E4634000 CALL DWORD PTR DS:[<&KERNEL32.GetCommand>; kernel32.GetCommandLineA
004010D9 8BF0 MOV ESI,EAX
004010DB 8A00 MOV AL,BYTE PTR DS:[EAX]
004010DD 3C 22 CMP AL,22
004010DF 75 1B JNZ SHORT NOTEPAD.004010FC
004010E1 56 PUSH ESI
004010E2 FF15 F4644000 CALL DWORD PTR DS:[<&USER32.CharNextA>] ; USER32.CharNextA
004010E8 8BF0 MOV ESI,EAX
004010EA 8A00 MOV AL,BYTE PTR DS:[EAX]
004010EC 84C0 TEST AL,AL
重建输入表时，插件有两个选项。Method2重建输入表很快，脱壳后运行率高。Method1重建输入表慢，脱壳后运行率较低。本程序用Method1,2重建输入表后程序都可直接运行。这个壳太简单，我们什么壳都见识一下绝对有好处。
"手动脱壳入门第十三篇"脱壳动画！