新经典95'第一奉献,中国第一解拆工具: UNSHELL V1.0! 全自动! 不需人工干预! 准确还原软件! 声明: 本文中所提到的软件名称及其它具有版权的文字,均由其所有者拥有,本文 所有观点只代表作者的意见。 金万隆技贸中心及新经典工作组为纯粹的软件经销商和软件开发小组,不拷 贝、出售本文中提到的其它软件,不提供解密服务。 ─────────────────────────────────── UNSHELL! 金万隆技贸中心隆重推出 出品人 新经典工作组 作者 冯志宏 产品测试 王万江 李燕 文档&成品制作 冯志宏 王万江 李燕 特别感谢 钱国祥 张孟雷 俞前 ─────── UNSHELL是什么? 无论软件是用什么软件加的密,或用什么软件进行过压缩、变形,或者被什么 病毒感染过, 只要这个软件是用常见语言编写的, 只要这个软件还能正常运行, UNSHELL 就有85%的把握把这个软件还原为与未加密/压缩/变形/被病毒感染前一模 一样;有90%的把握能把软件基本还原,并且能够正常运行;有95%的把握能使还原 后的软件正常运行。 注:所谓UNSHELL还原后的软件与原始软件一模一样,不同于一般解密软件的“一 模一样”;UNSHELL还原的软件除EXE文件的重定位项表外,其它内容与原始软件保 证完全相同,不改变原始软件的程序入口;而EXE文件的重定位项表不同也仅仅是 表达方式不同,如用00220001表示00000221。 UNSHELL将给你一个安全备份软件和顺利进行逆向工程的机会。 ─────── UNSHELL产生背景 大陆的通用解拆工具软件分为分为两个阶段: 1、GameBlaster 3和RCOPY02为代表的内存状态保存工具软件 1989年开始出现。 这类工具软件可以把正在运行的软件以内存映象的方式保存到硬盘上,在其后 可以把数据调入内存,恢复软件的运行状态,使软件可以在另一时刻继续运行。 这类工具软件的特点是操作方便,只需在软件运行至恰当时机按下工具软件给 出的热键,即可把计算机中当前所有状态保存下来。对于某些仅在外壳中读KEY盘 的加密软件进行操作,可达到脱离KEY盘运行软件的目的。 由于此类软件对硬件、软件环境有相当大的要求,保存的软件内存映象成功恢 复运行的成功率较低,一般只能在同一台计算机中并在同一环境中操作。 2、以RCOPY03为代表的脱壳工具软件 1994年下半年出现。 目前此类工具软件有RCOPY03、 LLQZ、MS-COPY、MagicKey、UNALL等,这类软 件的特点是通过运行软件,得到有关软件使用中断的信息,由用户控制在某条中断 处将正在运行的软件打断,并保留现场,然后通过对内存数据的分析形成一个与当 前内存相对应的EXE文件。 这类软件的优点是使用灵活, 对于软件高手来说其有效性不亚于S-ICE,使用 起来比较方便。 由于这类软件是通过分析正在运行的软件使用中断来进行判断、保存,对使用 者的水平要求有一定的汇编语言知识,并且需要人工进行判断(UNALL等软件提供了 自动判断的功能) ;对内存中的数据分析并不能做到完美,还原的软件通常比原始 软件大许多,运行时要求内存比原始软件多。 另外还存在一种类型的脱壳软件,是由软件高手对外壳进行分析,进而编制的 专用脱壳工具, 例如UNP、UP、DISLITE、UNLZEXE、UNPACK等专门展开压缩外壳的 软件; KILL、CPAV等解病毒软件;UNXXX类专门针对某种加密软件。这类软件还原 效果好,易操作,但针对性强,对于未知的外壳无法脱壳。 通过比较这三类软件的特点,我们会发现这三类软件各自的优点: 1、易用 2、灵活 3、还原效果好 而同时具备这三个优点的软件却 . . . UNSHELL以完全不同的方法和其崭新的思路成为第三代通用解密软件的开山之作。 UNSHELL完全不同于市场上目前的通用脱壳软件: 1、UNSHELL无需人工干预,你所需要作的工作就是执行命令 UNSHELL [需还原的软件名] 即可,UNSHELL将根据软件的类型自动生成一个后缀名为'EX!'或'CO!'的文件, 不须回答任何问题,不须进行任何操作——如果你不把改名操作算在内的话。 2、UNSHELL还原后的文件是真正的原始文件 只要UNSHELL正常工作, 还原后的文件与原始软件基本上是一样的,所谓有不 一样的地方是EXE文件的重定位表和文件尾部可能出现的一些废字节, 基本不影响 软件的完整性。 3、UNSHELL不专门针对任何外壳软件,因而具有极高的通用性 UNSHELL不是UNXXX类型的软件,她是根据程序设计的机理而研制成功的逆向工 程工具,所有软件外壳均无法阻挡UNSHELL的还原过程,因而对任何未知/将来的加 密软件、病毒等形成的外壳均能处理。 ──────── 版权声明 UNSHELL Ver 1. 0作者为冯志宏,新经典工作组与作者共同拥有软件版权,任 何人没有书面许可不能COPY、修改、销售UNSHELL或UNSHELL的一部分,否则即违反 软件版权法,新经典工作组及作者有权进行追究,对违法行为进行举报者新经典工 作组将给予适当奖励。 新经典工作组已选择金万隆技贸中心作为所有软件的国内总代理,如果公司欲 代销UNSHELL等经典工作组的产品, 请找金万隆技贸中心联系。新经典工作组欢迎 使用新型销售方法的公司(如BBS、 INTERNET、信息网等)同我们联系,共同开拓软 件市场。 UNSHELL在发行正式版的同时发行SHAREWARE版, 在功能上, ShareWare版的 UNSHELL仅能够处理部分软件, 对于其它软件产品只能出现提示信息,无法给出还 原的软件; ShareWare软件在使用时会出现延时;ShareWare只容许用户自软件发 行之日起试用3个月,其后的使用将为非法。 ShareWare版软件的版权请参阅"新经典软件产品"一章。 ──────── UNSHELL购买方法 VE(经济)版价格:无升级服务,无售后服务,只对中国大陆发行 全国统一价格: 188元人民币 正式版价格:提供一年的售后服务,一年内免费升级 全国统一价格: 888元人民币 台 湾 地区售价: 3000元新台币 香港地区售价: 1000元港币 其它地区: 120美元 注:凡要求邮购者请加12元邮费,我们将使用特快传递来为您送上UNSHELL。 (只限于中国大陆地区) 凡在1995年购买UNSHELL软件赠送新经典工具一套。 如果想在购买前先品尝UNSHELL,请在如下BBS下载UNSHELL的最新SHAREWARE版: 新先导: 1601118 (仅限于北京地区,收费) 轻松快车: 6016728 宝瓶明伦: 2185699 长城: 2515423 如果因故不能使用BBS, 请寄20元人民币至金万隆技贸中心,我们将为您送上 最新的SHAREWARE版UNSHELL,并赠送一份新经典工具箱。 为使大家能够及时看到UNSHELL的发展, 新经典工作组将每月推出新功能版本 及其对应的SHAREWARE版。 另:凡CFIDO成员,可在如下网点写信给我,在购买UNSHELL时您将得到意想不 到的优惠条件。在写信时请注明姓名及生日,以便核对。 新先导: Feng 轻松快车: Feng 宝瓶明伦: Feng 长城: Zhihong Feng 新经典工作组通讯地址: 北京金万隆技贸中心新经典工作组 北京丰台区太平桥西里南路十三号 邮政编码:100073 UNSHELL邮购通讯地址: 北京金万隆技贸中心蔡小姐 北京西城区复外三里河一区109门4号 邮政编码:100045 电话:3406971 汉字销售热线寻呼:2911166-2872 汉字技术热线寻呼:2568800-80486 ──────── UNSHELL 1.0能处理的文件类型 DOS下, 非保护模式编译的软件产品,WINDOWS/WINDOWS 95下的软件请等待新 经典工作组的另一杰作 UNSHELL for Windows! ──────── UNSHELL 运行条件 286以上,内存不限,硬盘需有3M空间。 在使用UNSHELL时不能运行S-ICE等跟踪软件。 ──────── UNSHELL的使用方法 UNSHELL是一个全自动的脱壳工具,其使用方法极为简单。以HD-COPY 2.0为例, 如果想把软件还原,只需按如下步骤进行: 1、把HD-COPY拷贝至UNSHELL所在目录 2、执行命令 UNSHELL HD-COPY.EXE 3、查看当前目录下生成的文件HD-COPY.EX!,将其改名为HD.EXE 4、执行HD.EXE,检查脱壳效果 你会惊喜的发现,UNP等脱壳工具不能正常处理的HD-COPY 2.0竟然被还原了! 如此简单的使用方法,相信任何用户都无需培训。 ──────── UNSHELL的高级用法 UNSHELL不会忘记那些有一定基础的用户, 她提供了相当多的参数供使用者参 与脱壳过程。 UNSHELL参数: /B 完整运行程序,默认在断点处中止运行 在默认情况下,UNSHELL在确认软件被脱壳后自动停止软件的运行。 如果在软件停止运行后系统运行不正常,可以使用/B参数 /C 强制使用汉字信息提示 UNSHELL能识别汉字环境自动使用汉字提示,如果偶尔失误,可以使 用/C参数强制使用汉字提示信息。 /E 强制使用英文信息提示 UNSHELL能识别汉字环境自动使用汉字提示,如果偶尔失误,可以使 用/E参数强制使用英文提示信息。 /M 强制给出完整的COM文件 UNSHELL对于COM格式的文件会自动做优化处理,如果出现生成的COM 文件过小、无法正常运行的情况,可使用/M参数强制生成完整的COM 文件 /N 不写入UNSHELL版权信息 默认情况下UNSHELL在展开的文件中加入了新经典工作组的版权信息, 如果影响软件的正常执行,可以使用/N参数 (在SHAREWARE版中不能使用) /On 0:覆盖模块写到新EXE文件尾部 如果软件中包含有覆盖模块,将覆盖模块连接到生成的EXE尾部 1:覆盖模块写到*.OV! (默认方式) 如果软件中包含有覆盖模块,创建一个后缀名为"OV!"的覆盖程序, 此种方式为默认方式 /S 使用UNSHELL设置的内部堆栈 如果解拆后的软件不能正常运行,或软件中部分数据被破坏,可试用 /S参数 /X 只处理EXE文件 如果UNSHELL错误的把软件外壳识别为COM文件展开,可使用/X参数 ──────── UNSHELL使用技巧 注意 1 、 如果需脱壳的软件运行后驻留内存, 则最好先直接运行一遍, 再运行 UNSHELL进行解拆,其成功率会大大提高。 2、在解拆时最好不要使用SMARTDRV等CANCHE程序。 3、尽量提供较多的基本内存,以防止在解拆较大软件时出现内存不够的情况。 4、在进行解拆时最好不要在内存中驻留过多的驱动程序和软件。 5、如果UNSHELL解拆的软件无法正常运行,应分别试用/N、/S参数 ──────── 新经典工作组简介 新经典工作组的前身为HomeSoft(佳星软件)和WKGSOFT。 1994年6月新经典工作组成员之一冯志宏自费购置了一台486/66, 为当时经济 能力所能购买的最好工具,超过了工作时使用的计算机。工作之余在家编制一些小 工具自娱,以HomeSoft为名,取其家中编制之意。在这段时间里陆续完成了UNDISK、 UNTTE、 VCD等小工具,并以ShareWare的形式广为流传,被多家公司收入其软件成 品中。 1988年起新经典工作组成员之一王万江以WKGSOFT为名进行苹果机的加解密研 究工作, 成功完成了苹果硬件解密卡的设计和制作。1990年工作方向由APPLE转向 PC,自行开发了MDA仿真CGA、CGA-MDA热键转换、VESAINFO、MyCD、TXT等多种小工 具。 1995年7月,冯志宏与王万江正式创立新经典工作组。 ──────── 新经典成员简介 冯志宏, UNSHELL作者,辽宁朝阳人,户口现在武汉,就读于武汉大学计算机 系,92年到北京工作。对工具软件和游戏软件有极高的兴趣。现转行搞专业音响器 材,为业余音响发烧友,专业计算机发烧友。有作品UNDISK等发烧工具。 王万江,北京人,就读于杭州中国计量学院,自幼酷爱无线电,中学期间多次 获得全国小发明奖。89年在广州任职于专业音响公司主管产品设计开发。为业余计 算机超级发烧友,92年返京,现为OTARI专业音响产品总代理。 ──────── UNSHELL的历史: 1995.10.31 通过测试、完善,正式推出UNSHELL 1.0版 1995.10 完成UNSHELL 0.99版,初步通过新经典工作人员的内部测试 1995.7 产生UNSHELL基本思想,做出雏形产品,可以用半手工方 式剥去几种被加密软件的加密外壳 ──────── 新经典工作组系列产品简介 没有人不是为了挣钱而工作,但所有的工作并不一定为了挣钱;新经典出品的 软件有经济上的需要,但也不会变成钱经典;该赚的钱一定要赚,该交的朋友也一 定要交。 新经典FreeWare!系列软件 新经典推出的FreeWare类软件是软件发烧友急需的各种小工具,但一般的软件 厂家由于经济利益的考虑不能进行开发,新经典工作组将陆续推出系列工具,供大 家免费使用。 本系列软件可供任何人在非赢利场所使用,可自由COPY、扩散,但不得修改软 件及其所附带的文档,新经典工作组保留对软件的所有权利。 所有FreeWare软件均不提供技术支持,新经典工作组对使用FreeWare类软件所 造成的一切后果不承担任何责任。 出现其它类型的使用按如下方法处理: 1、包含在其它非本工作组出品的软件产品 如果有此类需要请与新经典工作组联系并由新经典工作组提供专用版本,及给 出 正 式 书 面 授 权, 否则按照FreeWare规则(凡包含FreeWare软件的软件即为 FreeWare) ,包含新经典FreeWare软件的软件产品被认为是放弃版权,成为不收取 任何费用的FreeWare软件产品。 2、在工厂、机关等办公场合使用 请按照软件文档提供的注册版提供的注册费用进行注册,否则即为非法使用。 新经典工作组既然为个人使用者提供了极大的使用自由,希望大家能支持我们。 3、用于赢利 请与新经典工作组联系,否则新经典工作组有权进行追究。 如果你对上述条件之一不能认可,请不要使用本软件,否则即视为完全同意遵 守FreeWare原则。 新经典FreeWare系列软件: BOOTTIME 启动时间检测 放在批处理文件中的小工具,可帮助你在指定时间启动指定软件 SBG Super Big-5 to GB Code change超级台湾内码—大陆内码转换软件 这个软件与市场上的不同!它可以让用户修改BIG5-GB对应内码,以达 到较高的转换成功率 MyCD CD播放机 专业级CD放音机,附C源程序 UNTTE TTE --> TXT 把TTE生成的EXE文件转换回TXT文件,解除你无法进行打印、文件搜索 的烦恼 UNT2E T2E --> TXT 把T2E生成的EXE文件转换回TXT文件,解除你无法进行打印、文件搜索 的烦恼 VCD CD盘片校读 市场上CD盘片的质量极差,为了保证买的CD数据是完好的,请使用VCD 进行数据读出测试 新经典ShareWare系列软件 本系列软件在规定的使用期内可供任何人在非赢利场所使用,可自由COPY、扩 散,但不得修改软件及其所附带的文档;到使用期限后需停止使用,不得强行修改 所加的限制,新经典工作组保留对软件的所有权利。 所有ShareWare软件均不提供技术支持,新经典工作组对使用ShareWare类软件 所造成的一切后果不承担任何责任。 出现其它类型的使用按如下方法处理: 1、包含在其它非本工作组出品的软件产品 如果有此类需要,将该产品提供一份给与新经典工作组即可,也可以联系并由 新经典工作组提供专用版本。不得在使用中修改软件版权。 2、在工厂、机关等办公场合使用 请按照软件文档提供的注册版提供的注册费用进行注册,否则即为非法使用。 新经典工作组既然为个人使用者提供了极大的使用自由,希望大家能支持我们。 3、用于赢利 请与新经典工作组联系,否则新经典工作组有权进行追究。 如果你对上述条件之一不能认可,请不要使用本软件,否则即视为完全同意遵 守ShareWare原则。 新经典软件产品系列 此类产品具有相当的价值,任何用户不能非法使用。此类软件新经典工作组提 供技术支持及产品维护,承担有限责任。 EXPLOCK 中国-世界第一套EXP文件加密工具软件 UNSHELL! 全自动软件脱壳软件 UNDISK 磁盘映象文件展开 新经典CD管家 CD唱盘管理器