脱壳篇

最新推荐文章于 2023-06-18 13:11:16 发布
最新推荐文章于 2023-06-18 13:11:16 发布
阅读量155 收藏
点赞数
分类专栏: ctf 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gonna2011/article/details/114677971
版权

1.对特定的壳可以用专门的脱壳软件进行脱壳。
2.也可以手动脱壳
想要脱壳首相要明白加壳的原理是什么?壳是怎么运作的?加壳是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后,先于原始程序执行,得到控制权,执行过程中对原始程序进行解密、还原,还原完成后再把控制权交还给原始程序,执行原来的代码部分。加上外壳后,原始程序代码在磁盘文件中一般是以加密后的形式存在的,只在执行时在内存中还原,这样就可以比较有效地防止破解者对程序文件的非法修改,同时也可以防止程序被静态反编译。
在做题时,一般都用Exeinfo PE查壳后用OD进行动态反编译脱壳,壳的类型通常分为压缩壳和加密壳两类。压缩壳的特点是减小软件体积大小,加密保护不是重点。加密壳种类比较多,不同的壳侧重点不同,一些壳单纯保护程序,另一些壳提供额外的功能,如提供注册机制、使用次数、时间限制等。
插一个OD的教程,我的OD是英文版,实在看不太懂,https://blog.csdn.net/freeking101/article/details/101180621
还有脱壳的一些点:https://www.cnblogs.com/5315hejialei/p/6938538.html

gonna2011
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
吾爱技术吧vip高清视频课程
06-19
1的一般方法 2.后的修复 3.北斗,崛北压缩 4.实战两例讲解不破解vmp和se加密程序 5.利用插件完美vmp 6.利用常量破解软件 7 zprotect去注册框 8.易语言伪装c++的程序 9.Enigma通用过注册 ...
、加详细教程
m0_59856804的博客
11-15 6467
、加详细教程 PEID工具的使用 UPXShell工具的使用
简单教程笔记
A powerful and unconstrained style
08-18 7222
简介: UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70%,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀.upx是一种保护程序。 : 工具: ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 文件: 01.rmvbfix.exe 笔记: 1、使用ExeinfoPE或PEid确定是否加 2、
和加的使用指南
m0_57485346的博客
11-13 2262
和加的使用指南(附peid简单使用)
[1198]ApkScan-PKID 查工具
周小董
05-20 2592
1、的功能:最本质的功能就是实现加载器,是指在一个程序的外面再包裹上另外一段代码,保护里面的代码不被非法修改或反编译的程序。
手动教程
热门推荐
weixin_44032972的博客
05-21 1万+
一、什么是?         是指在一个程序的外面再包裹上另一段代码,保护里面的代码不被非法修改或反编译的的程序。它们一般先于程序运行,拿到控制权,然后完成它们保护软件的任务。 二、的加载过程 1、保存程序入口参数         加程序初始化时保存各个寄存器的值(用堆栈),外执行完毕后,再恢复各个寄存器的值,最后再跳到源程序执行。 2、获
鱼C解密系列篇视频教程分享
07-17
小甲鱼fishc的解密系列视频教程讲座篇的分享,此外还有基础篇、工具篇、系统篇、调试篇
06.exe训练程序
09-08
训练程序训练程序
教程第1-4篇
12-26
教程第1-4篇
新手学习的入门篇
11-22
来个新手学习的入门篇吧(6千字) 其实主要也是帮助一些朋友能更快的摸到门,不至于对只会照猫画虎,这些也是我当初我想问的那些问题的答案,都是些很基础的东西
EXE Pack ——
sxr__nc的博客
12-12 1734
0x00 查看程序信息: 程序运行状态: 0X01调试器调试 一路F7,可以来到程序解密数据的代码,通过反汇编窗口可以实时的跟踪被修改的数据情况: 之后F7 进行单步调试,可以看到很多API函数的调用,在这里需要注意的是,CreateProcessA函数的调用,会新建一个与现有进程名字一样的新进程: 这个进程其实是一个守护进程的作用,在创建进程之后,就会退出当前进程,所以我们要做的操作...
一篇学会——06.exe
摔不死的笨鸟的博客
09-07 7029
加密
常用手动方法
xcntime的专栏
11-06 1224
常用手动方法 方法一:单步跟踪法 1.用OD载入,点“不分析代码!” 2.单步向下跟踪F8,实现向下的跳。也就是说向上的跳不让其实现!(通过F4) 3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——>运行到所选) 4.绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现! 5.如果刚载入程序,在附近就有一个CAL
史上最全最完整,最详细,软件保护技术-程序篇-逆向工程学习记录
书山有路勤为径,学海无涯苦作舟
06-18 4088
历史:是最早出现的专用加密软件技术!作用:可以是开发者未来保护自己的代码不被借鉴、破解、逆向;也可用来病毒、木马、蠕虫隐藏恶意代码,不被杀毒如软件查杀!预习:vmp纯虚拟机,目前公认认为公认最强。温馨提示:上瘾,可不要随意传播哦!
和加的基本原理
LizimU_0911的博客
11-14 965
1.查和加的基本原理 1.1 的分类 1. 通常分为压缩和加密两类。 2. 压缩的特点是减小软件体积大小, 3. 加密种类比较多,不同的侧重点不同,一些单纯保护程序,另一些提供额外的功能,如提供注册机制、使用次数、时间限制等。 1.2 查 可以利用PEID软件进行查,用PEID打开要查的软件,以扫雷为例,可以看到扫雷是用C++编写的程序,证明这个软件没有,如图1。若有,此处将会显示是用哪种方法加的
手动(一)
Re_Fw
03-16 660
手动 手动一般分为三种,一是查找真正的入口点;二是抓取内存镜像文件;三是重建PE文件 理论上,当程序执行时,外代码首先获得控制权,模拟Windows加载器,将原来的程序恢复到内存中。这时,内存中的数据就是加前的镜像文件了。适时将其抓取并修改,即可还原到加前的状态。 OEP理论:外程序负责在内存中把原程序解压,还原,并把控制权还给解压后的真正程序,再跳到原来的程序入口点。一般的在这里会有一个明显的“分界线”,这个解压后真正的程序入口...
--02.exe
weixin_45012273的博客
02-08 790
程序开始 使用OD打开程序 发现无法利用esp定律 程序直接运行 查找模块间调用 随便找到一个函数的调用 发现是FF15方式调用 所以是vs的程序 vs程序大致分成两种 vs20xx (特征函数:GetSystemTimeAsFileTime)和 vc++6.0(特征函数:GetVersion) 通过链接器版本 发现是vc6.0 直接在GetVersion上下断点 重新运行程序 断点断下 返回到调用处 vc6.0和易语言的第一个CALL都是GetVers...
记录win10安装Dexdump并
爬楼梯的巨人的博客
05-25 2007
安卓Dexdump
confuserex
最新发布
01-16
是指将被此类混淆工具保护的程序集进行反混淆,使其恢复原来的源代码以进行分析或修改。 要对confuserex进行,通常需要使用一些特定的工具或脚本来解除其混淆。首先,需要确定所使用的confuserex版本,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值