home *** CD-ROM | disk | FTP | other *** search
/ Reverse Code Engineering RCE CD +sandman 2000 / ReverseCodeEngineeringRceCdsandman2000.iso / RCE / LiuTaoTao / crexlok.txt < prev    next >
Text File  |  2000-05-25  |  2KB  |  57 lines
  1. The software is:
  2.  
  3.   ■ EXELock 666 v1.01b - EXE Protector - (C) 1997 by ST!LLS0N ■ 
  4.  
  5.   Lets unpack it.
  6.  
  7. 1. If you are in Dos windows of Windows95,
  8.  
  9.         TR exel666.exe
  10.                 getknl
  11.         MKEXE
  12.  
  13.    This will make a file 'mem.exe'.
  14.  
  15. 2. If you are in DOS, only a little different:
  16.  
  17.         TR exel666.exe
  18.                 exe1
  19.                 reload
  20.                 g 6c2
  21.                 r ip 6d5
  22.                 goknl
  23.                 wexe1
  24.                 exe2
  25.                 reload
  26.                 g 6c2
  27.                 r ip 6d5
  28.                 goknl
  29.                 wexe2
  30.                 q
  31.         MKEXE
  32.  
  33.    This will make file 'mem.exe' which is same as step 1.
  34.  
  35.    Why in Dos different ? Just because follow codes be in cs:6c2.
  36.    TR do not know how to do, so we must bypass it by manual.
  37.  
  38.     MOV       EAX,CR0                  ;3566:06C2  0F20C0
  39.     OR        EAX,01                   ;3566:06C5  6683C801        
  40.     MOV       CR0,EAX                  ;3566:06C9  0F22C0          
  41.     JMP       06CE                     ;3566:06CC  EB00
  42.                                 <--already in protect mode
  43.     AND       AL,FE                    ;3566:06CE  24FE            
  44.     MOV       CR0,EAX                  ;3566:06D0  0F22C0          
  45.     JMP       06D5                     ;3566:06D3  EB00
  46.                                 <--back to real mode
  47.     CLI                                ;3566:06D5  FA              
  48.     SUB       EAX,EAX                  ;3566:06D6  662BC0          
  49.  
  50.    This will change to Protect Mode and back to Real Mode.
  51.    TR do not know Protect Mode, so....
  52.  
  53. 3. There is still a shell in MEM.EXE. Certainly you can unpack it
  54.    by TR. But, this shell is LZEXE, you'd better use some other
  55.    unpacker who know LZEXE exactly to do it. They will make EXE
  56.    smaller than TR.
  57.