縱橫間誰能相抗—論殼及加殼技術(shù)

ID:20458239

大?。?7.50 KB

頁數(shù):6頁

時間:2018-10-13

縱橫間誰能相抗—論殼及加殼技術(shù)_第1頁
縱橫間誰能相抗—論殼及加殼技術(shù)_第2頁
縱橫間誰能相抗—論殼及加殼技術(shù)_第3頁
縱橫間誰能相抗—論殼及加殼技術(shù)_第4頁
縱橫間誰能相抗—論殼及加殼技術(shù)_第5頁
資源描述:

《縱橫間誰能相抗—論殼及加殼技術(shù)》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫

1、縱橫間誰能相抗—論殼與加殼技術(shù)縱橫間誰能相抗—論殼與加殼技術(shù).txt騙子太多,傻子明顯不夠用了。我就是在路上斬棘殺龍游江過河攀上塔頂負責吻醒你的公主??v橫間誰能相抗—論殼與加殼技術(shù)在這外殼程序風起云涌的幾年間,出現(xiàn)了無數(shù)優(yōu)秀的外殼,CoDe_inJect曾談過對幾種流行殼的看法,我斗膽結(jié)合他的言論描述一下現(xiàn)在常見的保護外殼:ASProtect無可爭議的外殼界老大,它開創(chuàng)了殼的新時代,SEH與各種流行反跟蹤技術(shù)、多態(tài)變形引擎的使用(準確來說是從病毒中借用)、BPM斷點清除等都出自于此;更為有名的當

2、屬RSA算法的使用,使得DEMO版無法被破解成完整版;CodeDips也源于這里;輸入表處理即使現(xiàn)在看來仍很強勁。開發(fā)殼應(yīng)該學習它各種算法的熟練運用,而它最失敗之處就是反跟蹤過于溫柔,令破解者輕松研究。tELock大名鼎鼎的一款免費的保護軟件,具有較強的反跟蹤能力,用SEH控制DRx結(jié)合內(nèi)存校驗封殺了BPM斷點和SuperBPM等工具。并有BPE32變形引擎產(chǎn)生很多異常代碼干擾跟蹤。輸入表的修復讓人頭痛了好一陣子,于此形成諷刺意味的是,輸入表在重定向之前會在內(nèi)存中以完整的形態(tài)出現(xiàn)。值得一提的是h

3、eXer花費了數(shù)月零散時間,將它逆向并做出了一個加強版,稱之為tELockX。PELockPELock應(yīng)該是很多殼的綜合,輸入表處理、RSA算法、反跟蹤、清除斷點、SHE都用到了,而且是第一個可以在Win98下檢測出IceDump的殼。在這個殼中第一次使用了清除代碼、加密代碼、鎖定代碼,使被加密的程序更難轉(zhuǎn)儲。DBPE這個殼在國內(nèi)如日中天,奧妙在于哪里?就在于反跟蹤做得比較完善,它是很早使用驅(qū)動的殼,雖然驅(qū)動的運用僅僅是為了在WinNT下切到Ring-0,但開創(chuàng)了殼使用驅(qū)動的先例。輸入表處理一般

4、,修改了中斷向量并使用其進行解碼,一些版本中有MMXE變形引擎使跟蹤起來眼花繚亂。可惜的是由于作者對RSA的錯誤理解,使破解者可以做出注冊機,且即使不注冊也可以脫殼。SVKP這個殼的有著深厚的背景,那就是anticracking.sk與DAEMON、EliCZ等一大批傳說中的人物有著密切的關(guān)系,但是這個殼的反跟蹤和輸入表處理都不夠理想,可能跟作者的編碼能力有關(guān)吧。驅(qū)動在這個程序中使用比較熟練,一些系統(tǒng)上會隱藏進程使得ImportREC等工具遇到阻礙,運用了KME變形引擎使代碼在堆棧中執(zhí)行,跟蹤起

5、來困難重重。Xtreme-Protector如它的名字一樣,似乎是目前最強悍的殼,也是驅(qū)動程序使用最為熟練的殼,驅(qū)動有解碼、反跟蹤的作用,多線程的SMC使得程序的保護能力直線上升。令很多沒有硬件調(diào)試器的破解者望而卻步。Star-Force與Xtreme-Protector不相伯仲的強大外殼,它的核心是一個偽代碼的解釋器,大大復雜了對其的研究工作;一部分導入函數(shù)的代碼是從系統(tǒng)庫中拷貝出來并進行修改過的;一部分程序代碼只有在執(zhí)行時候才解密出來。保護中還大量的應(yīng)用了這些手段:檢測某些內(nèi)存段的CRC校驗

6、和,經(jīng)常地將DRx清零,利用RDTSC指令來控制解碼不同塊的解碼時刻,最后一塊代碼的解碼甚至通過截獲Int0在Ring-0中進行。不過它多用于光盤加密,在共享軟件中并不多見。Armadillo當今猛殼之一,殼如其名擁有厚重的裝甲,加殼方式有兩種,一種是標準方式,另一種是CopyMem-II+Debug-Blocker,其標準加殼方式相對來說則容易的多。雙進程方式加殼的修復著實是一件令人頭疼的工作。Hying'sPE-Armor網(wǎng)絡(luò)游戲外掛中經(jīng)常會遇到的殼,許多人對其避而不談令它蒙上了濃重的神迷色

7、彩。它擁有偽裝功能,初學者常常被探測軟件的信息所迷惑。DRx與校驗和解碼技巧非常普遍,輸入表的處理比較好,會針對對不同的編譯器做特殊處理,內(nèi)涵仿真虛擬機系統(tǒng)作為SDK使得脫殼更為困難。它的一個非常老的版本源代碼在看雪的新書《軟件加密內(nèi)幕》中公開,幾乎沒有什么強度,但通過其學習外殼開發(fā)非常有價值。ACProtect首次使用了一些新反跟蹤技巧的殼,剛剛浮出水面的一段時間內(nèi)鬧得沸沸揚揚后被123112用他的妖幻調(diào)試器TRW2000結(jié)果了,有關(guān)它的一些反跟蹤,fly寫過一些詳細介紹,這里不再贅述。經(jīng)過很

8、多版本的改進,ACProtect的EmbeddedProtect和RSAProtect做得非常不錯,即使不使用SDK修復起來也是非常不便的。另外fly總結(jié)了利用“ESP定律”的方法,可以減輕跟蹤強度。Obsidium這個殼的特色在于支持分頁加密,并且擁有強大的代碼、資源充定位功能,令修復很困難。輸入表的處理似乎不錯,新版本不幸激發(fā)了heXer通宵的興趣在一夜之間支離破碎。Pll621Shell山村老妖Pll621的私人工具,先于Hying的殼擁具有DumpShield功能,花指令繁多,Win98

當前文檔最多預覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當前文檔最多預覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學公式或PPT動畫的文件,查看預覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負責整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時聯(lián)系客服。
3. 下載前請仔細閱讀文檔內(nèi)容,確認文檔內(nèi)容符合您的需求后進行下載,若出現(xiàn)內(nèi)容與標題不符可向本站投訴處理。
4. 下載文檔時可能由于網(wǎng)絡(luò)波動等原因無法下載或下載錯誤,付費完成后未能成功下載的用戶請聯(lián)系客服處理。
关闭