CodeDoctor V0.90 汉化版

CodeDoctor会静态数据剖析指令而且追踪全部的自动跳转指令。在程序流程不断地跑来跑去的场所下，这一作用是十分有用的。当它碰到不可以追踪的指令时，它会终止剖析，将全部早已剖析结束的指令拷到一块特定的运行内存中去

【操作方法】

【功能介绍】

1.反搞混#160;

在反编译对话框中挑选并实行这条指令。它会试着将废弃物指令中变换变成清楚的指令。#160;

举例说明：#160;

初始指令：#160;

00874372 57 PUSH EDI#160;

00874373 BF 352AAF6A MOV EDI,6AAF2A35#160;

00874378 81E7 0D152A41 AND EDI,412A150D#160;

0087437E 81F7 01002A40 XOR EDI,402A0001#160;

00874384 01FB ADD EBX,EDI#160;

00874386 5F POP EDI#160;

反搞混后：#160;

00874372 83C3 04 ADD EBX,4#160;

2.反搞混-单步#160;

这条指令的基本原理跟上面一样一条类似，但是它一次只剖析一条指令。#160;

3.将nop置后#160;

将这类方式的编码：#160;

00874396 50 PUSH EAX#160;

00874397 90 NOP#160;

00874398 90 NOP#160;

00874399 52 PUSH EDX#160;

0087439A BA 3F976B00 MOV EDX,somesoft.006B973F#160;

0087439F 90 NOP#160;

008742A0 90 NOP#160;

008742A1 90 NOP#160;

变换为：#160;

00874396 50 PUSH EAX#160;

00874397 52 PUSH EDX#160;

00874398 BA 3F976B00 MOV EDX,somesoft.006B973F#160;

0087439D 90 NOP#160;

0087439E 90 NOP#160;

0087439F 90 NOP#160;

008742A0 90 NOP#160;

008742A1 90 NOP#160;

限定：它会跳出来全部自动跳转指令和call指令#160;

4.撤消/再次实行#160;

撤消或再度实行前一条指令#160;

5.查找自动跳转作用#160;

它会静态数据剖析指令而且追踪全部的自动跳转指令。在程序流程不断地跑来跑去的场所下，这一作用是十分有用的。当它碰到不可以追踪的指令时，它会终止剖析，将全部早已剖析结束的指令拷到一块特定的运行内存中去。#160;

在设置中设定这种主要参数：#160;

步过全部的call-假如设定得话，它会步过全部的call。不然它会追踪他们。#160;

步过jcc-dtto（？）#160;

反搞混-在碰到Jcc，RET,JMP，CALL指令时，它会反搞混指令。在程序流程有多支系的情况下十分有用。#160;

举例说明：#160;

变换前：#160;

00874389 /EB 05 JMP SHORT somesoft.00874390#160;

0087438B |43 INC EBX#160;

0087438C |41 INC ECX#160;

0087438D |42 INC EDX#160;

0087438E |EB 07 JMP SHORT somesoft.00874397#160;

00874390 B8 07000000 MOV EAX,7#160;

00874395 ^ EB F4 JMP SHORT somesoft.0087438B#160;

00874397 C3 RET#160;

变换后：#160;

003B0000 B8 07000000 MOV EAX,7#160;

003B0005 43 INC EBX#160;

003B0006 41 INC ECX#160;

003B0007 42 INC EDX#160;

003B0008 C3 RET#160;

6.复建資源和重排序#160;

此作用在蜕壳时有一些限定。它从硬盘上开启被调节的文档。随后寻找全部的資源并将他们复建到一块区段（当今它将資源复建到exe中的初始区段中）。随后它重新排序文档，以一个新的姓名来储存文档。#160;

何时此作用是有用的？举例来说，在脱apack/asprotect或是别的一些壳的过后。这种壳会从初始区段中盗取一些資源，而且将他们置放到自身的区段中。从而会提升文档的尺寸，而且避免 你除去壳的区段。另外它也避免 了根据一些資源黑客软件见到这种資源。#160;

我相信会出现比这一软件更强的专用工具，但是将它融合进去有时是十分便捷的。#160;

7.AsProctect蜕壳#160;

此作用能够脱这些被asprotect再加上壳的文档而且恢复他们，导出来asprotect.dll，将信息内容輸出到txt文件中去。当此作用不成功的情况下，请递交总体目标文档帮我。#160;

限定：#160;

1.无法找到和恢复SDK 1.x版本号的涵数（你需要手动式找寻他们）#160;

这里有二种状况。一种是在OEP以前被启用的涵数。他们开展一系列的复位作用。假如他们不强制执行，程序流程很有可能会提醒无效。寻找他们并实行他们:-)#160;

第二种是在OEP以后实行的，根据独特的主要参数掩藏在GetprocAddress以后，这种涵数AsProtect将他们再次转为来到自身的编码中。你需要手动式剖析这种编码。#160;

2.在2.30-2.51中，有二种方法的盗取方法-一种为PolyOEP方法，也有一种是虚拟化技术。此作用只有恢复前面一种。#160;

3.不可以寻找crc校检或是机壳查验。但是此作用能够避免 一种种类的机壳查验：在自动跳转到API的指令中找寻E8。#160;

4.它不容易破译被数据加密的一部分或是区段。#160;

5.它不容易寻找系列号，修复使用版这些。#160;

6.如果有额外数据信息得话，在蜕壳后很有可能会损坏。#160;

Bugs：#160;

不可以工作中在在一些特殊的1.10版本号下，有时间我能恢复的。#160;

【常见问题】

在脱被Asprotect 2.X维护的文档时，你很有可能必须aspr_ide.dll。从aspack.com上得到 他们，假如需要的话，开展改动。#160;

××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××#160;

文档表明：#160;

CodeDoctor.dll 源程序