解密软件RCOPY03应用指导.docVIP

解密软件RCOPY03应用指导 解密软件RCOPY03应用指导 1995-01-06 RCOPY03是一个用于将内存中的二进制代码重建为EXE文件的通用工具软件。 我们知道，一个可执行文件(即EXE或COM文件)，在执行过程中任一时刻的走向，仅与内存当时的状态有关，而与程序早期的遍历无关，因而根据这一点，把内存当时的有关现状保留下来便不难在往后恢复程序的运行。早期的RCOPY02程序就根据这一原理而设计，并得到了广泛的应用。但是，由于RCOPY02保存现场的时刻是由人为敲键控制，并且是单纯地保留现场，因而被其保留的现场只能在相同的硬件环境下使用，使RCOPY02的应用受到了很大的限制。 为了说明RCOPY03的工作原理，以使你能更得心应手地运用该软件，我们且先来看看什么是“加壳”软件(没有统一名称，姑且称为“加壳”软件)。 当我们用常规的C、PASCAL、汇编等语言编制了一个应用程序之后，最后都将编释成一个可执行的EXE或COM文件，这种文件的执行流程若非人工精心地打“补丁”，很难修改。这样，当一些文件型病毒或加密工具等对其进行感染或加密时，只能是先将这种二进制代码进行复杂的变换，然后另外加上一段自己的用于逆变换的程序，这段程序通常是防跟踪的。这样，你要执行原来的程序，必须得先执行这段附加的程序，我们把这段附加的程序称之为程序的“壳”。对病毒程序而言，这种“壳”通常的作用在于设置一些中断，以便于往下感染其他的可执行文件或干脆在运行“壳”时感染其他文件。而对于加密工具来说，“壳”的作用就在于读软、硬盘上的“指纹”、各种软件狗或加密上的“密码”等。一但“壳”运行正常，再解码原来的可执行文件，才能使之正常执行。 显然，作为“壳”的作者来说，为了使其的“加壳”程序通用，不可能对被加壳程序提出过高的环境要求，也不可能改变被加壳程序的结构。而且不管“外壳”包得如何严密，它最终在内存中必需老老实实地把原程序自动还原。否则，被“加壳”的程序便不能运行。因而，这就使RCOPY03有了可趁之机，RCOPY03就是在被加壳程序运行到已解码的适当阶段，把内存中的二进制代码整理出一个EXE文件来，从而得到一个已去“壳”的可执行程序。以后这个已去壳的程序运行时，就无需再经过这段“壳”程序的运行过程了，从而达到杀毒或解密的目的。 那么，RCOPY03如何选择程序已去壳并已解码的关键点呢?我们知道，DOS操作系统为我们提供了丰富的中断功能，一般应用程序必须输入、输出或显示。这些操作通常都是调用DOS或BIOS的中断来实现，RCOPY03就是通过在目标程序运行的过程中截取指定的目标程序所使用的任何一个中断，来截获内存中的已解码程序。为了便于选择合适的中断点，RCOPY03也提供了观察目标程序中断调用序列的手段。这样，在选择好一个合适的中断点后，RCOPY03便会在该中断点处开始，重建一个可执行的EXE文件，从而自动完成对“加壳”程序的“去壳”过程。 由于RCOPY03重建的是一个可重定位的EXE文件，因而，只要所选择的中断截取点足够早，则经RCOPY03解码的文件可在任何与原程序相同的其他环境下使用，不再象RCOPY02所拷贝的副本那样，只能在和原来一样的环境下使用。 熟谙解密的用户可能注意到，有些加密工具(如各种软件狗)还提供了供用户链接到源文件中的OBJ加密模块。这样的程序显然不能企图通过RCOPY03一次性地解密，但是，由于这种程序在经RCOPY03去壳之后，一般不再具有防跟踪的性能(OBJ模块除外)，因而对这种程序，只要先用RCOPY03去壳，然后再用一般调试工具进行调试，找到OBJ模块的调用口，轻易地绕过去即可。当然，对于这类链接了OBJ模块的程序，已不属于“由工具对可执行程序加密的程序”的范围，但RCOPY03为种程序的解密也提供了极大的方便，因为它已删除了程序中最难处理的防跟踪外壳。 知道了RCOPY03的工作原理后，我们再来看下面各项操作步骤的含义便容易理解了。 二、菜单操作说明 在DOS提示符下键入RCOPY后，屏幕上将出现RCOPY03的主菜单如下： ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ┃RCOPY utility program Ver 3.00 Copyrigth(C) by Xiong Yan 04/94 ┃ ┠─────────┬─────────────┬─────────┨ ┃ HELP │