一、查壳去壳和加壳
壳的定义
计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务
查壳
- 查壳软件 fileinfoexe(fi.exe)
- 编写查壳的软件和侦察壳的软件 language.exe(两个功能合二为一)
- 编写查克常用的语言 Delphi
VisualBasic(VB)–最难破
VisualC(VC)
(1)拖入一个exe程序。我这里拖入ollydgb.exe - 使用PEID进行查壳
可以看出是用c++编写
去壳
1.去壳软件
-
文件分析工具(侦测壳的类型):peid
-
OEP入口查找工具:SoftICE,TRW,ollydbg,loader,peid
-
dump工具:IceDump,TRW,PEditor,ProcDump32,LordPE
-
PE文件编辑工具PEditor,ProcDump32,LordPE
-
重建Import Table工具:ImportREC,ReVirgin
-
ASProtect脱壳专用工具:Caspr(ASPr V1.1-V1.2有效),Rad(只对ASPr V1.1有效)
2. 使用PEID进行去壳
a.点击==》,点击插件,
b.点击PEID通用脱壳器
c.点击脱壳
加壳
1. 加壳常用软件 upx
使用PEID进行加壳
a.打开软件
b.点击压缩
c.点击执行
二、PEid工具的具体使用方法
1.什么是PE文件
(1)PE是Windows下的可执行文件的格式。这是微软基于UNIX平台的COFF(Common Object File Format,通用文件格式)制成的。微软原本的意思是提高程序的移植型,但是实际上只用于Windows系列的操作系统下。
(2)PE文件是指32位的可执行文件,也称PE32。注意:64位的可执行文件称为PE+或PE32+,是PE32的一种扩展,不叫PE64。
2.什么时候需要用到PEid
(1)当你需要快速了解目标程序
(2)快速鉴定一个程序是否正常
(3)它的入口点是什么?
(4) 用什么工具开发的
(5)是否被加了已知壳?
(6)查看它的反汇编代码
(7)PE头结构
(8)脱简易的壳
3.操作实例
(1)拖入一个exe程序。我这里拖入ollydgb.exe
可以看出是用c++编写