資源描述:
《介紹下加殼識(shí)別殼破殼的方法》由會(huì)員上傳分享��,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)�����。
1、介紹下加殼��、脫殼以及如何病毒免殺技術(shù)與原理(2008-5-2618:19:00)【收藏】【評(píng)論】【打印】【關(guān)閉】標(biāo)簽:加殼?脫殼?病毒免殺技術(shù)?介紹下加殼�、脫殼以及如何病毒免殺技術(shù)與原理在自然界中,我想大家對(duì)殼這東西應(yīng)該都不會(huì)陌生了�,由上述故事�,我們也可見(jiàn)一斑。自然界中植物用它來(lái)保護(hù)種子�,動(dòng)物用它來(lái)保護(hù)身體等等。同樣���,在一些計(jì)算機(jī)軟件里也有一段專門(mén)負(fù)責(zé)保護(hù)軟件不被非法修改或反編譯的程序��。它們一般都是先于程序運(yùn)行��,拿到控制權(quán)��,然后完成它們保護(hù)軟件的任務(wù)����。就像動(dòng)植物的殼一般都是在身體外面一樣理所當(dāng)然(但后來(lái)也出現(xiàn)了所謂的“殼中帶籽”的殼)��。由
2����、于這段程序和自然界的殼在功能上有很多相同的地方�����,基于命名的規(guī)則�,大家就把這樣的程序稱為“殼”了���。就像計(jì)算機(jī)病毒和自然界的病毒一樣���,其實(shí)都是命名上的方法罷了。從功能上抽象����,軟件的殼和自然界中的殼相差無(wú)幾。無(wú)非是保護(hù)�����、隱蔽殼內(nèi)的東西��。而從技術(shù)的角度出發(fā)���,殼是一段執(zhí)行于原始程序前的代碼����。原始程序的代碼在加殼的過(guò)程中可能被壓縮、加密……���。當(dāng)加殼后的文件執(zhí)行時(shí)���,殼-這段代碼先于原始程序運(yùn)行,他把壓縮���、加密后的代碼還原成原始程序代碼,然后再把執(zhí)行權(quán)交還給原始代碼�。軟件的殼分為加密殼、壓縮殼����、偽裝殼、多層殼等類�,目的都是為了隱藏程序真正的OEP(入口點(diǎn)
3、����,防止被破解)。關(guān)于“殼”以及相關(guān)軟件的發(fā)展歷史請(qǐng)參閱吳先生的《一切從“殼”開(kāi)始》。(一)殼的概念??????作者編好軟件后�,編譯成exe可執(zhí)行文件。??????1.有一些版權(quán)信息需要保護(hù)起來(lái)���,不想讓別人隨便改動(dòng)�����,如作者的姓名��,即為了保護(hù)軟件不被破解�,通常都是采用加殼來(lái)進(jìn)行保護(hù)�����。??????2.需要把程序搞的小一點(diǎn)�,從而方便使用。于是�,需要用到一些軟件,它們能將exe可執(zhí)行文件壓縮�,??????3.在黑客界給木馬等軟件加殼脫殼以躲避殺毒軟件。實(shí)現(xiàn)上述功能���,這些軟件稱為加殼軟件�����。(二)加殼軟件最常見(jiàn)的加殼軟件??????ASPACK��,UPX
4����、,PEcompact不常用的加殼軟件WWPACK32�;PE-PACK;PETITENEOLITE(三)偵測(cè)殼和軟件所用編寫(xiě)語(yǔ)言的軟件??????因?yàn)槊摎ぶ耙樗臍さ念愋汀??????1.偵測(cè)殼的軟件fileinfo.exe簡(jiǎn)稱fi.exe(偵測(cè)殼的能力極強(qiáng))��。??????2.偵測(cè)殼和軟件所用編寫(xiě)語(yǔ)言的軟件language.exe(兩個(gè)功能合為一體���,很棒)����,推薦language2000中文版(專門(mén)檢測(cè)加殼類型)����。??????3.軟件常用編寫(xiě)語(yǔ)言Delphi����,VisualBasic(VB)---最難破,VisualC(VC)。(四)脫殼軟
5���、件??????軟件加殼是作者寫(xiě)完軟件后����,為了保護(hù)自己的代碼或維護(hù)軟件產(chǎn)權(quán)等利益所常用到的手段����。目前有很多加殼工具,當(dāng)然有盾�,自然就有矛,只要我們收集全常用脫殼工具�����,那就不怕他加殼了�����。軟件脫殼有手動(dòng)脫和自動(dòng)脫殼之分��,下面我們先介紹自動(dòng)脫殼���,因?yàn)槭謩?dòng)脫殼需要運(yùn)用匯編語(yǔ)言����,要跟蹤斷點(diǎn)等,不適合初學(xué)者�,但我們?cè)诤筮厡⑸宰鹘榻B。??????加殼一般屬于軟件加密��,現(xiàn)在越來(lái)越多的軟件經(jīng)過(guò)壓縮處理�����,給漢化帶來(lái)許多不便�,軟件漢化愛(ài)好者也不得不學(xué)習(xí)掌握這種技能。現(xiàn)在脫殼一般分手動(dòng)和自動(dòng)兩種��,手動(dòng)就是用TRW2000�、TR、SOFTICE等調(diào)試工具對(duì)付���,對(duì)脫殼
6����、者有一定水平要求���,涉及到很多匯編語(yǔ)言和軟件調(diào)試方面的知識(shí)��。而自動(dòng)就是用專門(mén)的脫殼工具來(lái)脫��,最常用某種壓縮軟件都有他人寫(xiě)的反壓縮工具對(duì)應(yīng)���,有些壓縮工具自身能解壓,如UPX�����;有些不提供這功能���,如:ASPACK����,就需要UNASPACK對(duì)付����,好處是簡(jiǎn)單,缺點(diǎn)是版本更新了就沒(méi)用了�。另外脫殼就是用專門(mén)的脫殼工具來(lái)對(duì)付,最流行的是PROCDUMPv1.62�,可對(duì)付目前各種壓縮軟件的壓縮檔。在這里介紹的是一些通用的方法和工具��,希望對(duì)大家有幫助。我們知道文件的加密方式��,就可以使用不同的工具����、不同的方法進(jìn)行脫殼。下面是我們常常會(huì)碰到的加殼方式及簡(jiǎn)單的脫殼措施
7�����、��,供大家參考:脫殼的基本原則就是單步跟蹤��,只能往前���,不能往后��。脫殼的一般流程是:查殼->尋找OEP->Dump->修復(fù)找OEP的一般思路如下:先看殼是加密殼還是壓縮殼���,壓縮殼相對(duì)來(lái)說(shuō)容易些,一般是沒(méi)有異常����,找到對(duì)應(yīng)的popad后就能到入口,跳到入口的方式一般為�。我們知道文件被一些壓縮加殼軟件加密,下一步我們就要分析加密軟件的名稱�����、版本�。因?yàn)椴煌浖踔敛煌姹炯拥臍ぃ摎ぬ幚淼姆椒ǘ疾幌嗤?。常用脫殼工具??????1.文件分析工具(偵測(cè)殼的類型):Fi,GetTyp�,peid,pe-scan�,??????2.OEP入口查找工具:Soft
8、ICE�,TRW,ollydbg�,loader,peid??????3.dump工具:IceDump��,TRW�,PEditor,ProcDump32�,LordPE??????4.PE文件編輯工具P
