作者將軟件編譯後,編譯成exe可執行文件。1.有些版權信息是需要保護的,有些是不想隨便改的,比如作者的名字,就是為了保護軟件不被破解,壹般會加個殼來保護。2.有必要將程序變小,以便於使用。所以需要壹些軟件,可以壓縮exe可執行文件。3.在黑客世界裏,木馬等軟件被炮轟,以避開殺毒軟件。
為實現上述功能,這些軟件被稱為外殼軟件。
(2).Shell軟件最常見的shell軟件,ASPACK,UPX,PEcompact,以及shell軟件,WWPACK32;PE包;嬌小的;新石
(3)檢測外殼和軟件使用的編程語言中的軟件,因為在脫殼之前要檢查他的外殼的類型。1.fileinfo.exe檢測炮彈的軟件縮寫為fi.exe(檢測炮彈的能力極強)。2.language2000(兩個功能合二為壹,很棒),推薦使用language2000中文版(專門用於檢測炮彈類型)。3.Delphi,Visual Basic (VB),軟件最常用的編程語言,最難攻破的,VisualC(VC(。
(4)炮轟軟件。軟件脫殼是作者在編寫軟件後,保護自己代碼或維護軟件產權利益的常用手段。目前剝殼機工具很多,當然有盾,自然也有矛。只要把常用的剝殼機工具都收集起來,就不怕他的剝殼機了。軟件脫殼可以分為手動脫殼和自動脫殼。先介紹壹下自動脫殼,因為手動脫殼需要使用匯編語言和跟蹤斷點,不太適合新手,後面會介紹。
脫殼壹般屬於軟件加密,現在越來越多的軟件被壓縮,給本地化帶來很多不便,軟件本地化愛好者不得不學習這個技能。目前脫殼壹般分為手動和自動。手動是指使用TRW2000、TR、SOFTICE等調試工具。,對脫殼器有壹定水平的要求,涉及大量匯編語言和軟件調試的知識。自動化就是用專門的脫殼工具把它去掉。最常用的壓縮軟件都有別人寫的相應的反壓縮工具,有的壓縮工具可以自己解壓,比如used;有些不提供這個功能,比如:ASPACK,所以需要UNASPACK來處理。優點是簡單,缺點是版本更新時沒用。另外,脫殼是用專門的脫殼工具來處理的,最流行的是PROCDUMP v1.62,可以處理目前各種壓縮軟件的壓縮文件。下面是壹些常用的方法和工具,希望對大家有幫助。我們知道文件的加密方法,所以我們可以使用不同的工具和方法對其進行加殼。以下是我們經常遇到的脫殼方法和簡單的脫殼措施,供大家參考:脫殼的基本原則是壹步到位,只進不退。脫殼的壹般流程如下:查殼-& gt;尋找OEP-& gt;轉儲-& gt;找OEP修復的大致思路是:首先看外殼是加密的還是壓縮的。壓縮外殼比較容易,壹般沒有異常。找到對應的popad後,就可以去入口了,跳轉入口的方式壹般如下。我們知道文件是用壹些壓縮和外殼軟件加密的,下壹步就是分析加密軟件的名稱和版本。因為不同的軟件甚至不同的版本加殼,加殼處理的方法也不壹樣。
常見的脫殼工具:1、文件分析工具(檢測外殼類型):Fi、GetTyp、peid、pe-scan、2、OEP條目搜索工具:softice、TRW、ollidbg、loader、peid3、轉儲工具:IceDump、TRW、peditor、ProcDump32、LordPE 4、PE文件編輯工具:PEditor、ProcDump32、LordPE 5、導入表重建工具:ImportREC、ReVirgin 6、ASProtect專用工具:Caspr (ASPr V1。
(1)Aspack:用的最多,但是妳只需要用UNASPACK或者PEDUMP32來shell。(2)ASProtect+aspack:其次,國外軟件用它來脫殼,脫殼時需要使用SOFTICE+ICEDUMP,需要壹定的專業知識,但最新版本目前無可奈何。(3)Upx:可以用Upx本身來shell,但是要註意版本是否壹致。使用-D參數(4)Armadill:可以使用SOFTICE+ICEDUMP來shell,比較煩。(5)Dbpe:是國內比較好的加密軟件,新版本暫時無法下架。但是可以破解(6)NeoLite:可以自己去殼(7)Pcguard:可以用SOFTICE+ICEDUMP+FROGICE去殼(8)Pecompat:可以用SOFTICE和PEDUMP32去殼,但是不需要專業知識(9)Petite:有些老版本可以直接用PEDUMP32去殼。新版本加殼時需要SOFTICE+ICEDUMP,需要壹定的專業知識(10)WWpack32:和PECOMPACT壹樣,其實有些老版本可以直接用PEDUMP32加殼,但是有時候資源無法修改,所以無法翻譯。所以還是用帶PEDUMP32的SOFTICE去殼比較好。我們通常使用Procdump32,壹個通用的shell軟件。是壹款功能強大的外殼軟件,可以解鎖大部分加密外殼,還有壹個腳本功能,可以用腳本輕松解鎖特定外殼的加密文件。
另外,很多時候我們需要使用exe可執行文件編輯軟件ultraedit。我們可以下載它的中文註冊版,它的註冊機可以在網上查到。Ultraedit打開壹個中文軟件,很多漢字如果帶殼就無法識別。如果不去殼,不去殼,很多漢字都可以識別。ultraedit可以用來檢查外殼是否脫下,以後會有很多用處。請大家熟悉壹下。比如妳可以用它的替換功能把作者的名字替換成妳的名字。註意字節必須相等,兩個漢字代表兩個,三個代表三個,ultraedit編輯器左側補00。[!- empirenews.page - ]
常見的脫殼方法:
(1) aspack shell可以用unaspack或者caspr 1.unaspack進行外殼,使用方法類似於lanuage和傻瓜式軟件。運行後,可以選擇要加殼的軟件。缺點:只能shell早期版本的aspack。脫不了殼的高配版2.caspr第壹種:被殼的軟件(比如aa.exe)和caspr.exe在同壹個目錄下,運行windows開始菜單。在卡斯帕·aa.exe炮轟之後鍵入文件為aa.ex_,刪除原來的aa.exe,並將aa.ex_重命名為aa.exe。使用方法與fi類似。優點:可以脫殼任意版本的aspack,脫殼能力極強。缺點:Dos界面。第二種:把aa.exe的圖標拖到caspr.exe * * *的圖標上如果已經檢測到是aspack shell,用unaspack脫殼有錯誤,說明是aspack高配版shell,可以用caspr剝離。(upx shell可以用要去殼的upx軟件(如aa.exe)和upx.exe放在同壹個目錄下,運行windows開始菜單,鍵入UPX-D aa.exe。(3)使用unpecompact進行pecompact外殼脫殼的方法類似於lanuage fool軟件。運行後,可以選擇要加殼的軟件。(4) procdump通用性強,但不精確。壹般情況下,您不應該使用它。運行後,首先指定外殼的名稱,然後選擇要進行外殼的軟件,並確保外殼後的文件大於原始文件。因為脫殼軟件已經成熟,壹般不需要人工脫殼。
第三,壓縮和脫殼
目前脫殼壹般分為手動和自動。手動是指使用TRW2000、TR、SOFTICE等調試工具。,對剝殼機有壹定水平的要求。自動化好壹點,用專門的脫殼工具剝離。最常用的壓縮軟件都有別人寫的相應的反壓縮工具,有的壓縮工具可以自己解壓,比如used;有些不提供這個功能,比如:ASPACK,所以需要UNASPACK來處理。很多文件都被壹些壓縮和外殼軟件加密過,需要解壓和外殼處理後才能翻譯成中文。這種壓縮不同於我們平時接觸的壓縮工具,比如winzip、winrar等。winzip、winrar等壓縮文件不能直接執行,但這類EXE壓縮軟件在EXE文件壓縮後仍然可以運行。壓縮文件後,這個壓縮工具會在文件開頭添加壹個解壓縮代碼。執行文件時,代碼首先對文件進行解壓縮和還原,但這些都是在內存中完成的。由於微型計算機的高速度,我們幾乎感覺不到任何差別。這樣的程序有很多,比如bat,Acdsee,Winxfile等等。
要去掉外殼,首先要知道常用的壓縮工具是什麽,這樣才能知己知彼。現在越來越多的軟件廠商喜歡用壓縮的方式發布產品,比如bat!UPX壓縮,使用ASPACK的ACDSEE3.0壓縮等。有以下幾個因素:壹是微機性能越來越好,執行過程中的解壓讓人感覺不舒服,用戶可以接受(給軟件加壹個shell類似於WINZIP的效果,只不過shell壓縮後的文件可以獨立運行,解壓過程完全隱藏在內存中完成。解壓的原理是shell工具在文件頭添加壹個指令,告訴CPU如何自己解壓。現在CPU速度很快,所以妳看不出這個解壓過程有什麽異常。因為軟件是壹次打開的,只有妳的機器配置很差的情況下,妳才會感受到軟件不帶殼和帶殼運行速度的差別。)。二是壓縮後軟件體積減小,便於網絡傳輸。三是增加破解難度。
首先,果殼軟件不同於WinZip、WinRAR等壹般的壓縮軟件。它對exe可執行文件進行壓縮,壓縮後的文件可以直接運行。而WinZip、WinRAR等壓縮軟件可以壓縮任何文件,但壓縮後不能直接運行。為了速度和安全,許多網站不允許上傳可執行文件,而只允許上傳壓縮文件。外殼軟件壓縮的文件減小了大小,其他屬性沒有改變。還是EXE文件,還是可以執行的,只是運行過程和以前不壹樣了。壓縮工具壓縮文件後,會在文件開頭添加壹個解壓縮代碼。執行文件時,代碼首先對文件進行解壓縮和還原,但這些都是在內存中完成的。由於微型計算機的高速度,我們幾乎感覺不到任何差別。
第四,貝殼和特洛伊馬
特洛伊馬是有害的,但是隨著人們對各種特洛伊馬知識的了解和對殺毒、查殺工具的特別呵護,很多木馬已經沒有藏身之地,反而有很多高手到處賣馬,聲稱不會被殺。它們究竟是如何隱藏在我們的系統中的?其實無非是“加/炮轟”特洛伊這匹馬。對於黑客來說,為了防止殺毒軟件被跟蹤調試,也為了防止算法程序被他人靜態分析,添加/刪除技術已經被應用到偽裝的特洛伊客戶端上,運用得淋漓盡致。最基礎的隱藏:隱形表單+隱藏文件。木馬程序采用“進程隱藏”技術:第壹代進程隱藏技術:Windows 98的後門。第二代進程隱藏技術:進程插入,後續的鉤子技術是針對殺毒軟件的:殺毒軟件外殼技術。木馬很狡猾,但壹旦被殺毒軟件定義,就會在運行前被攔截。為了避免被殺毒軟件追殺,很多木馬都是帶殼的,相當於給它們穿上了壹件外衣,讓殺毒軟件無法識別,但是有些殺毒軟件會嘗試把常見的殼給剝掉,然後殺掉(樣本,不要以為穿上馬甲我就不認識妳了)。除了被動隱藏,最近還發現了壹種可以主動對抗殺毒軟件的外殼。特洛伊馬壹旦被加上這個外殼,壹旦運行,這個外殼首先會獲得程序控制權,通過各種手段破壞系統中安裝的殺毒軟件。最後,在確認安全(殺毒軟件的保護已經瓦解)後,外殼會釋放包裹在自己體內的特洛伊體並執行。對付這種特洛伊馬的辦法就是使用具有脫殼能力的殺毒軟件來保護系統。外殼可以包裝壹個文件(比如EXE),然後在文件運行的時候,外殼先獲得控制權,然後釋放並運行包裝好的文件體。很多外殼都可以對其封裝的文件體進行加密,可以防止殺毒軟件查殺。例如,最初的殺毒軟件將特洛伊定義為“12345”。如果壹個文件包含這個特征,就被認為是特洛伊,具有加密功能的外殼會對文件體進行加密(比如原來的特征是“12345”,加密後變成了“54321”,殺毒軟件就不行了。脫殼是指去掉文件外部的外殼,恢復文件脫殼前的狀態。
雖然很多殺毒軟件如瑞星、KV、諾頓等殺毒軟件的文件監控會讓程序第壹次運行很慢。這是因為:殺毒軟件在監控掃描壓縮加殼的exe文件時,首先要“殼”。
通用壓縮shell程序可以對可執行文件的代碼、數據、輸入表、重定位表和資源段進行加密壓縮。通常壓縮後的文件大小只有原大小的50%-70%,但不影響程序的正常使用和所有功能。目的是保護文件不被跟蹤、分析、反匯編和加殼。所以有時候用某個軟件給特洛伊馬去殼會失敗,但是妳可以試試另壹個軟件。用不同的軟件給特洛伊馬加殼或加多個殼後重新加殼都有可能騙過殺毒軟件。但是經過復雜的多次脫殼,檢測出來的結果可能並不準確。這時候就需要使用“adv.scan”高級掃描,pe-scan會分析被各種脫殼工具脫殼的可能性。[!- empirenews.page - ]
五、外殼和病毒:
為了生存,病毒不僅可以增加自身的變形能力,還可以與程序外殼壓縮相聯系。我們先來看看病毒變形的目的,因為現在的殺毒軟件,都是在特征碼檢測的基礎上,增加了變形能力,使得特征碼檢測的方法更加困難。那麽如果和程序外殼技術結合起來,只靠添加特征碼來解毒就完全無效了。解毒的時候必須同時更新掃描引擎,但是沒有通用的方法解包。所以外殼壓縮和變形的結合會讓殺毒廠商手忙腳亂,也讓殺毒軟件用戶苦不堪言,頻繁更新,除了特征碼,還有掃描引擎。給普通病毒加個殼,比如upx。現在壹般都有殺毒軟件,常用的加密和外殼壓縮程序都有相應的解包程序。效果並不好,所以如果病毒不僅僅是壹個很好的變形加密和外殼壓縮程序,那麽目的就是強制更新掃描引擎,當然可以通過動態解壓的方式檢測出來,同時也為解毒增加了很多工作。
實際上,外殼技術不僅用於軟件保護,也用於好的病毒。好的病毒不壹定傳播得很快,也很難被發現,但更重要的是殺死。就像現在殺毒領域的虛擬機技術,只是壹個雛形,很多功能還不能完全虛擬化。同時,如果shell代碼本身是可變形的,並且有許多shell算法可以隨機選擇,就很難找出其中的規律和關系。總之,壹個好的殺毒軟件至少應該具備的技術功能之壹就是具備壓縮恢復技術:自動恢復數百個壓縮和外殼軟件如Pklite、Diet、Exepack、Com2exe、Lzexe、Cpav等。,徹底清除隱藏很深的病毒,避免病毒死灰復燃。
六、手工脫殼的壹些相關知識:
手動脫殼的關鍵是找到解壓後準備跳轉到正常EXE文件執行的關鍵點。在TRW2000環境下,可以使用相關命令進行shell化,比如:peda UMP+自定義文件名。在壹般的調試經驗中,妳應該註意代碼前地址的突然變化。
(壹)、強制中斷方法概述
1,SuperBPM工具方法
2.在斷點處硬插入INT3。
3.IceDump中的/tracex命令
4.在PEditor中打斷並輸入命令
(二)、流程暫停方法概述
1,eip jmp eip(在OEP入口前使用)
2./suspendx pid(可以通過proc命令找到pid)(在SoftIce中)
3.暫停(在TRW)
(三)、轉儲方法概述
1,/轉儲圖像基本大小e:\ dump.exe(軟格式)
2.//pedump ImageBase OEP(RVA值)E:\ dump.exe(在Softice中)
3.pedump e:\dump.exe(TRW(在TRW)
4.makepe e:\ dump . exe(TRW(TRW)
5.w圖像基礎l尺寸e:\ dump.exe(在TRW)
6.PEditor中任務選項的dump(完全)命令(在其他工具中)
7.ProcDump32中的dump(full)命令(在其他工具中)
(四),常用編程語言的切入點
德爾福:
55推EBP
8BEC MOV EBP,ESP
83C4 F0添加ESP,-10
B8 A86F4B00 MOV EAX,PE.004B6FA8
vc++
55推EBP
8BEC MOV EBP,ESP
83EC 44子ESP,44
56推動ESI
vb:
00401166-FF25 6c 104000 JMP DWORD PTR DS:[& lt;& ampMSVBVM60。#100 >] ;MSVBVM60。ThunRTMain
0040116C & gt;68 147C4000推送包ME.00407C14
00401171 E8 f 0 ffffff來電& ltJMP。& ampMSVBVM60。#100 >
00401176 0000添加字節PTR DS:[EAX],AL
00401178 0000添加字節PTR DS:[EAX],AL
0040117A 0000添加字節PTR DS:[EAX],AL
0040117C 3000 XOR字節PTR DS:[EAX],AL
bc++
0040163 c & gt;$ /EB 10 JMP空頭BCLOCK
0040163 e | 66 DB 66;字符' f '
0040163 f | 62 DB 62;字符“b”
00401640 | 3A DB 3A;字符“:”
00401641 | 43 DB 43;字符' C '
00401642 | 2B DB 2B;字符“+”
00401643 | 2B DB 2B;字符“+”
00401644 | 48db 48;字符“H”
00401645 | 4F DB 4F;CHAR 'O
00401646 | 4F DB 4F;CHAR 'O
00401647 | 4B DB 4B;字符K
00401648 |90 NOP
00401649 |E9 DB E9
0040164A。|98E04E00 DD偏移量BCLOCK。___CPPdebugHook
0040164 e & gt;\ a 1 8be 04 e 00 MOV·EAX
00401653 .EAX,2歲
00401656 .EAX MOV德沃德PTR DS:[4EE08F]
0040165B。52推EDX
0040165C。6A 00推0;/p模塊= NULL
0040165E。E8 df bc0 e 00 CALL & lt;JMP。& ampKERNEL32。GetModuleHandleA & gt;\GetModuleHandleA
00401663 .EAX MOV EDX
dasm:
00401000 & gt;/$ 6A 00推送0;/p模塊= NULL
00401002 |.E8 C50A0000呼叫& ltJMP。& ampKERNEL32。GetModuleHandleA & gt;\GetModuleHandleA
00401007 |.EAX MOV德沃德郵政編碼:a3 0c 354000:[40350 c]
0040100C |。E8 B50A0000呼叫& ltJMP。& ampKERNEL32。GetCommandLineA & gt;[GetCommandLineA
00401011 |.EAX MOV德沃德郵政編碼:a3 10354000:[403510]
00401016 |.6A 0A推0A;/Arg4 = 0000000A
00401018 |.FF35 10354000推送DWORD PTR DS:[403510];|Arg3 = 00000000
0040101E |。6A 00推0;|Arg2 = 00000000
00401020 |.FF35 0C354000推送DWORD PTR DS:[40350 c];|Arg1 = 00000000
7.公共資源。國內外有很多著名的破解網站,比如薛雪學院/subject/jmdope/