查壳去壳和加壳的基本原理

最新推荐文章于 2025-04-21 14:14:03 发布
最新推荐文章于 2025-04-21 14:14:03 发布
阅读量1.2k 收藏 7
点赞数 8
文章标签: 网络 tcp/ip 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LizimU_0911/article/details/127850511
版权
本文介绍了软件加壳和脱壳的概念。加壳是一种通过压缩或加密技术来保护程序不被反编译的方法,而脱壳则是逆向工程中用于揭示原始程序的过程。PEID工具被用于查壳和脱壳,包括查找程序的OEP并进行Dump与修复。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.1  壳的分类

1. 通常分为压缩壳和加密壳两类。

2. 压缩壳的特点是减小软件体积大小,

3. 加密壳种类比较多,不同的壳侧重点不同,一些壳单纯保护程序,另一些壳提供额外的功能,如提供注册机制、使用次数、时间限制等。

1.2 查壳

        可以利用PEID软件进行查壳,用PEID打开要查的软件,以扫雷为例,可以看到扫雷是用C++编写的程序,证明这个软件没有壳,如图1。若有壳,此处将会显示是用哪种方法加的壳。

 

图1

1.3 加壳

1. 什么是加壳?

        利用特殊的算法,为了保护软件不被反编译,对可执行文件里的资源进行压缩或加密。

2. 加壳的原理

        源程序的代码段通过壳程序进行加密,生成了加密后的代码段,加密后的代码跟源程序的头放在一起,得到的加壳后的程序。

1.4 去壳(脱壳)

1. 常用的脱壳工具:PEID

2. 脱壳的原理

        脱壳的基本原则就是单步跟踪,只能往前,不能往后。脱壳的一般流程是:查壳->寻找OEP->Dump->修复。

按照实际案例用常用的去壳加壳工具说明使用方法
m0_74208186的博客
11-17 1194
于是,加壳这个方法就成为木马免杀的主要方法之一,各种千奇百怪的应运而生(在百度以关键词“加壳软件”进行搜索,可以看到197万条搜索结果),加不同的就可以延伸不同的变种,有一种撒豆成兵的效果,所以加壳成为木马免杀的两种较常用的方法之一。这么做的好处是,可以提高的保护能力伪装能力,抵抗杀毒软件的杀,效果非常明显。盔甲是人类在战争中发现的一种保护全身的防御武器(盔保护的是头部,甲保护的是身体),穿上盔甲后的防护力大大增强,提高了战场上存活的几率,而同样有提高生存能力需求的木马,也打起了盔甲的主意。
加壳去壳基本原理
m0_74208186的博客
11-17 326
加壳一般是指保护程序资源的方法. 脱一般是指除掉程序的保护,用来修改程序资源. 病毒加壳技术与脱杀毒方法 : 是什么?脱又是什么?这是很多经常感到迷惑经常提出的问题,其实这个问题一点也不幼稚。当你想听说脱这个名词并试着去了解的时候,说明你已经在各个安全站点很有了一段日子了。下面,我们进入“”的世 界吧。 一、金蝉脱的故事 我先想讲个故事吧。那就是金蝉脱。金蝉脱属于三十六计中的混战计。金蝉脱的本意是:寒蝉在蜕变时,本体脱离皮而走,只留下蝉蜕还挂在枝头。此计用于军事,是指通过伪装摆脱敌人
加壳 新手必看 初学者必须掌握原理 (,加壳,脱,介绍的一些基本常识).zip
03-20
加壳 新手必看 初学者必须掌握原理 (,加壳,脱,介绍的一些基本常识).zip
逆向工程-去壳加壳基本原理
小宇的web博客
11-17 2357
第一种,是硬脱,这是指找出加壳软件的加壳算法,写出逆向算法,就像压缩解压缩一样。由于,目前很多“”均带有加密、变形的特点,每次加壳生成的代码都不一样。第二种,是动态脱。目前,有一种脱方式是抓取内存中的镜像,再重构成标准的执行文件。加壳基本原理:是一种通过一系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序),以达到缩小文件体积或加密程序编码的目的。加壳一般是指保护程序资源的方法。去壳基本原理 :一般是指除掉程序的保护,用来修改程序资源。
PEiD(PE Identifier)工具
最新发布
gitblog_06715的博客
04-21 464
PEiD(PE Identifier)工具 【下载地址】PEiDPEIdentifier工具 PEiD(PE Identifier)是一款功能强大的工具,能够轻松侦测几乎所有类型的加壳PE文档。它支持超过470种加壳类型签名,是程序分析安全检测工作中的得力助手。无论是新手还是专业人士,都能通过PEiD高效...
什么是加壳技术?加壳技术是什么意思
人生代码,代码人生。。。
09-30 8025
什么是加壳技术?加壳技术是什么意思加壳,是一种通过一系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序),以达到缩小文件体积或加密程序编码的目的。加壳一般是指保护程序资源的方法。 脱一般是指除掉程序的保护,用来修改程序资源。马甲”能穿也能脱。相应的,有加壳也一定会有解(也叫脱)。脱主要有两种方法:硬脱动态
加壳,脱
longfan的博客
08-07 3988
加壳,脱,以前经常听人讲,但从未自己总结过,今天自己来总结加壳,脱的原理以及如何加壳,脱。 什么是加壳加壳的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行。加壳,顾名思义,就是给一个东西加上一个,只不过这里是程序。就好比这大自然中的种子一样,为了保护自己,有一层,要想看到里面的东西,就要剥开这层。  加壳的另一种常用的方式是在二进制的程序中植入一段代码,在运行的时候优...
加壳与脱理论详解
菜鸟-传奇
05-13 3432
加壳与脱理论详解   在自然界中,我想大家对这东西应该都不会陌生了,由上述故事,我们也可见一斑。自然界中植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的一般都是在身体外面一样理所当然(但后来也出现了所谓的 “ 中带籽 ” 的)。由于这段程...
[加壳] VMP原理简介
墨鱼菜鸡
08-29 755
特点 不同的压缩会先将 pe 文件压缩,载入内存后进行解压缩(TLS函数内)然后运行,而 vmp 是修改 pe文件中的汇编指令为一种 “伪指令” ,这些伪指令被虚拟机引擎解析,代替cpu去执行这些指令(如JVM.NE...
加固加壳分析(2)_脱原理一些脱机分析
HURUWO的技术博客
08-13 688
原理 基于静态分析的源代码失效,脱的核心就是在于动态运行时候的把源代码dex文件dump下来。 所以最重要的几个点包括: 1.找到合适的脱点,也就是dex被解密加载进内存的点。 2.分析出dex文件的内存大小以及起始地址。 当然所有的操作要在运行期间读取出来这些信息 为了做到这一点我们需要一些特殊的方式 思路上的具体表现 为了能够找到dex文件的内存大小地址,我们可以用两种方式: 1.找到解密并且将dex文件加载到内存的点,在此刻将dex文件记录并dump下来 2.直接从内存里搜索出已经加载好的d
PEiD 0.94工具:全面的文件分析解决方案
PEiD 0.94是一款在IT行业中广泛使用的工具,它的主要功能是对可执行文件(如.exe、.dll等)进行识别分析,以确定文件是否经过加密或者加壳处理,以及使用了哪种加壳程序。""是指检测程序文件是否被压缩...
工具(ExEinfoPE、PEiD )
07-04
工具(ExEinfoPE、PEiD )可以出目前主流
软件加壳与脱技术的实现
02-11
该文档,详细描写了软件加壳与脱技术的实现,有思路,有流程图,详细易懂。
ExeinfoPe工具
12-07
xeinfo PE属于新一代工具,作者目前还在更新,它PEiD的区别可能就在于它的特征库是作者自己维护,不支持外部修改,
PEiD工具
10-29
PEiD(PE Identifier)是一款著名的工具,其功能强大,几乎可以侦测出所有的,其数量已超过470 种PE 文档 的加壳类型签名。
最好的工具DIE (大家可以试试比PEID好用)
11-17
非常好用的的工具,比PEID好用,没有不出来的,可以反汇编 非常方便(强烈推荐)
DiE 0.64:强大的多功能工具
基本原理通常涉及程序执行过程中的动态分析,这包括内存扫描、代码注入API调用跟踪等技术。在实际应用中,脱工具可以帮助研究人员发现修复软件中的漏洞,验证软件是否被恶意软件篡改,或者对恶意软件...
黑客逆向破解基础-1:加壳分别是什么?加壳的解压原理介绍。
热门推荐
JankinChan的博客
04-27 1万+
一、的概念 的概念,在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的一般都是在身体外面一样理所当然(但后来也出现了所谓的“中带籽”的)。由于这段程序自然界的在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“”了。就像计算机病毒自然界的病毒一样,其实都是命名上的方法罢了...
加壳原理
nini_boom的博客
11-27 1424
一、APP启动流程(结合源码分析) 当我们点击APP图标,到APP运行启动,中间经历了怎样的过程?可以用一张图来概括: 首先启动Activity/Service,(Activity、Service是什么?四大组件:Activity、Service、BroadCast Recevicer、Content provider),通知system_server进程,然后以Binder的方式通知Zygote进程,最终进入ActivityThread.main(),开始进入APP世界的大门。 我们打开http://
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

哪个小李

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值