Re-脱壳技术 脱壳学习(1): 壳的概念学习

最新推荐文章于 2022-04-21 20:40:00 发布
最新推荐文章于 2022-04-21 20:40:00 发布
阅读量571 收藏 1
点赞数 1
分类专栏: ctf小白成长ing # 逆向脱壳技术 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Palmer9/article/details/103643375
版权

壳的概念

壳是在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。
壳是在一个程序的外面再包裹上另外一段代码,保护里面的代码不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。

壳的分类

壳分为两类:压缩壳加密壳

  1. 压缩壳
    使用压缩壳可以帮助缩减 PE 文件的大小,隐藏了 PE 文件内部代码和资源,便于网络传输和保存。
    压缩壳用途:
    1. 单纯用于压缩普通 PE 文件的压缩壳
    2. 对源文件进行较大变形,严重破坏 PE 文件头,经常用于压缩恶意程序。
    常见的压缩壳
    - UPX
    - ASpack
    - PECompat
  2. 加密壳
    功能:保护 PE 免受代码逆向分析
    用途:
    1. 对安全性要求高,对破解敏感的应用程序
    2. 恶意程序用于避免(降低)杀毒软件的检测查杀
    常见的加密壳:
    - ASProtector
    - Armadillo
    - EXECryptor
    - Themida
    - VMProtect

壳的加载过程

  1. 保存入口参数
    1. 加壳程序初始化时保存各寄存器的值
    2. 外壳执行完毕,恢复各寄存器值
    3. 最后再跳到原程序执行
    通常使用```pushad / popad、pushfd / popfd````指令对寄存器进行保存和恢复
  2. 获取所需函数API
    1. 一般壳的输入表中只有 GetProcAddress、GetModuleHandle 和 LoadLibrary 这几个 API 函数
    2. 如果需要其他 API 函数,则通过 LoadLibraryA(W) 或 LoadLibraryExA(W) 将 DLL 文件映射到调用进程的地址空间中
    3. 如果 DLL 文件已被映射到调用进程的地址空间里,就可以调用 GetModuleHandleA(W) 函数获得 DLL 模块句柄
    4. 一旦 DLL 模块被加载,就可以调用 GetProcAddress 函数获取输入函数的地址
  3. 跳转回原程序入口点(OEP)
    1. 在跳转回入口点之前,恢复填写原PE文件输入表(IAT),并处理好重定位项(主要是 DLL 文件)
    2. 对每一个 DLL 引入的所有函数重新获取地址,并填写到 IAT 表中(因为加壳时外壳自己构造了一个输入表)
    3. 将控制权移交原程序,并继续执行
Forgo7ten
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
技术技术技术技术
11-29
关于技术学习 希望对大家有用技术技术技术
Re-技术 学习(2): 七法
逆向随笔
12-26 792
1. ESP定律 使用条件:OD载入之后F8单步一下,寄存器ESP中存放的值被改变(开始第一条语句为pushad) 1. 用OD载入 2. 先F8单步运行一步 发现ESP寄存器被改变,可以使用ESP定律 3.设置硬件断点 右键数据窗口跟随,|| 或者直接点HW break[ESP],此插件会自动帮忙下好硬件断点 数据窗口设置 从最开始的数据开始选,(别选太少就行)然后右键→断点→硬...
技术简谈
热门推荐
islq's space
07-03 1万+
首先我想大家应该先明白“”的概念。在自然界中,我想大家对这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的一般都是在身体外面一样理所当然(但后来也出现了所谓的“中带籽”的)。由于这段程序和自然界的在功能上有很多相同的
RE入门之——手UPX
weixin_45986910的博客
08-14 3129
很多加了的软件是很难逆向分析的,需要手。下面以UPX为例简单介绍一下如何手动 需要工具:x64dbg。 拿到程序以后使用x64dbg打开。
Re-技术 实战(3): 及修复IAT
逆向随笔
12-27 1746
题目: 链接: https://pan.baidu.com/s/1wQIwaCu99mYHX8gyqMfMMQ 提取码: qwcm 最好在windows XP环境中 使用工具: OD lordPE ImportREC 第一题:IT修复 1.查 UPX的,无难度 2.寻找OEP 用OD载入 先F8单步运行一步 发现ESP寄存器被改变,可以使用ESP定律 右键数据窗口跟随,|| ...
工具 NET-去混淆-de4dot-Reactor5.0 By ddk313
03-18
-p xc 指定类型 , 这里是xc,表示Xenocode. 这样会在exe的相同目录生成一个 xx_cleaned.exe 的文件 要指定输出路径请使用 -o "d:\output\xx.exe" 6.其他 小窍门:如果在使用de4dot的过程中碰到如
第31章-简介1
08-03
学习不仅可以增强逆向分析技能,还能帮助我们理解的运作机制,以便于开发更有效的反逆向技术或找到绕过的方法。然而,值得注意的是,每个都有其独特的实现方式,因此掌握一种方法并不意味着可以...
Themida - Winlicense Ultra Unpacker 教程
最新发布
05-08
1. 利用 Odbg110 掉 WinLicense1.x—2.x的加密 软件:OD 插件:ODBGScript v1.82.6、StrongOD 0.4.8.892、PhantOm 1.79、ARImpRec.dll、 脚本(Themida - Winlicense Ultra Unpacker 1.4) 2. 查软件...
VMProtect 1.xx - 2.xx自动机(脚本)+教程
04-26
LCF-AT 是个传奇,牛人。他跟 Raham 都是研究,不研究破解的。两个都是牛人。VMProtect 1.xx - 2.xx自动机(脚本)+教程(密码tuts4you)
工具 Dump-e ver0.2 易语言工具
03-19
可对加的软件进行快速,如果有报毒属于误报,添加信任即可,不信可上传查毒网站进行查毒
逆向基础:技术
lm19770429的专栏
11-15 345
区块的对齐值 有两种对齐值,一种用于磁盘文件内,另一种用于内存中。 在PE文件头里,FileAlignment定义了磁盘区块的对齐值。200h,512 SectionAlignment定义了内存中区块的对齐值。1000h,4K 应用程序加载映射示意图 寻找OEP OEP是程序的原始入口点,一个正常的程序只有EP,只有入口点被修改的程序(加等),才会拥有OEP。 ...
攻防世界两题简单RE,学习了一下手工
WocW的博客
04-15 711
111
逆向学习1-[技术]/篇1
m0_52343643的博客
04-21 2512
是包裹在程序外的一层代码,通常先于程序执行,达到防止源程序不被非法修改或反编译的目的 的分类 分为压缩和加密 压缩 压缩主要是帮助减少PE文件(Windows下的文件格式)大小,隐藏PE文件内部的代码和资源 常见的压缩有:Upx、ASpack、PECompat 加密 加密应用有多种防止代码逆向分析的技术,用该的PE文件会比原文件大很多,有时恶意程序也用加密来降低杀毒软件的扫描 常见的加密有:ASProtector、Armadillo、EXECryptor、T.
180225 逆向-技术(8)
whklhhhh的博客
03-22 467
1625-5 王子昂 总结《2018年2月25日》 【连续第512天总结】 A. 技术(8)压缩的技巧 B. 压缩 UPX UPX既破坏了输入表也破坏了重定位表,因此尽量使用自解压命令来 upx -d File 有些工具为了防止UPX的自解压会修改UPX的标志位使其识别失败,例如UPXPR和UPX-Scrambler 此时就需要修复各个标志位 ...
浅谈中的Dump技术
qiaoli的知识备忘录
08-18 445
原文连接: http://bbs.pediy.com/showthread.php?t=17624 在此先记录下网址,以后再整理原文,以免忘了。
180218 逆向-技术(1)
whklhhhh的博客
03-21 445
1625-5 王子昂 总结《2018年2月18日》 【连续第506天总结】 A. 技术(1) B. 加载过程 和病毒在有些方面类似,都需要比源程序代码更早的获得控制权。 保存入口参数 初始化时保存各寄存器的值,执行完毕后再恢复各寄存器。通常使用pushad\popad, pushfd\popfd 获取自己所需要使用的API 一般外的输入表中只有GetProc...
方法总结
宗泽的博客
06-09 9361
一、单步跟踪法   的方法有很多,先来讲方法中最基础的单步跟踪法。单步跟踪法就是利用OD的单条指令执行功能,从的入口一直执行到OEP,最终通过这个OEP将原程序dump出来。然当,在单步跟踪的时候需要跳过一些不能执行到的指令。   使用单步跟踪法追踪OEP的常见步骤:   1、用OD载入待文件,如果出现压缩提示,选择“不分析代码”;   2、向下单步跟踪,实现向下的跳转;   3、遇...
180226 逆向-技术(9)
whklhhhh的博客
03-22 349
1625-5 王子昂 总结《2018年2月26日》 【连续第513天总结】 A. 技术(9)加密的一些技术 B. 加密 ASProtect 这款由于过于经典,因此在看雪等论坛上有多篇分析文章,不再赘述方法 主要列举一些技术 Emulate standard system functions 它将API入口一段代码抽到外里,然后输入表里填充外地址,...
180220 逆向-技术(3)
whklhhhh的博客
03-21 421
1625-5 王子昂 总结《2018年2月20日》 【连续第507天总结】 A. 技术(3)抓取内存映像 B. 抓取内存映像 又叫转存、Dump 就是把内存中的指定数据保存为文件,写入磁盘中 时,如果将解密后的原程序dump出来,就得到了原程序的核心部分,只要修复IAT等部分就基本还原了 而在何时dump文件是有一定技巧的。 一般在OEP处dump。 如果运行以后du...
upx1一键工具
07-31
UPX1一键工具是一种能够自动解压缩使用了UPX1的可执行文件的工具。UPX1是一种常用的文件压缩工具,它能够显著减小可执行文件的体积,使其在传输和存储时更加高效。 使用UPX1一键工具可以方便地将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Forgo7ten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值