查壳去壳和加壳的使用指南

最新推荐文章于 2024-07-17 17:36:22 发布
最新推荐文章于 2024-07-17 17:36:22 发布
阅读量2.2k 收藏 8
点赞数 19
分类专栏: 学习 文章标签: web安全 测试工具 软件工程 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57485346/article/details/127829724
版权

查壳去壳和加壳的使用指南

查壳去壳和加壳的基本原理

1.什么是壳

  1. 介绍下加壳、脱壳以及如何病毒免杀技术与原理 在自然界中,我想大家对壳这东西应该都不会陌生了,由上述故事,我们也可见一斑。自然界中植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样,其实都是命名上的方法罢了。 从功能上抽象,软件的壳和自然界中的壳相差无几。无非是保护、隐蔽壳内的东西。而从技术的角度出发,壳是一段执行于原始程序前的代码。原始程序的代码在加壳的过程中可能被压缩、加密……。当加壳后的文件执行时,壳-这段代码先于原始程序运行,他把压缩、加密后的代码还原成原始程序代码,然后再把执行权交还给原始代码。 软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类,目的都是为了隐藏程序真正的OEP(入口点,防止被破解)。

2.壳的概念

  • 作者编好软件后,编译成exe文件
    - 有一些版权信息需要保护起来,不想让别人改动,为了保护软件不被破解,通常都是采用加壳方式来进行保护
    - 需要把程序搞得小店,加壳可以将exe文件压缩
    - 黑客届给木马等软件加壳脱壳以躲避杀毒软件。

加壳

1. 加壳常用软件

  • (1)Aspack,upx,PEcompact.
  • (2)不常用的加壳软件WWPACK32;PE-PACK ;PETITE NEOLITE

查壳

1.侦测壳和软件所用编写语言的软件

  • 脱壳之前要查看他的软件类型,侦测壳的软件,fileinfoexe简称fi.exe
  • 侦测可和软件所用编写语言的软件language.exe(两个功能合二为一)
  • 软件常用编写语言Delphi,VisualBasic(VB)–最难破,VisualC(VC)

脱壳

1.脱壳软件

(1)软件加壳是作者写完软件后,为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具,当然有盾,自然就有矛,只要我们收集全常用脱壳工具,那就不怕他加壳了。软件脱壳有手动脱和自动脱壳之分
(2)手动就是用 TRW2000 、 TR 、 SOFTICE 等调试工具对付,对脱壳者有一定水平要求,涉及到很多汇编语言和软件调试方面的知识。而自动就是用专门的脱壳工具来脱,最常用某种压缩软件都有他人写的反压缩工具对应,有些压缩工具自身能解压,如 UPX ;有些不提供这功能,如: ASPACK ,就需要 UNASPACK 对付,好处是简单,缺点是版本更新了就没用了。
(3) 脱壳的基本原则就是单步跟踪,只能往前,不能往后。脱壳的一般流程是:查壳 -> 寻找 OEP->Dump-> 修复

2.常用脱壳软件

(1)文件分析工具(侦测壳的类型):Fi,GetTyp,peid,pe-scan
(2)OEP入口查找工具:SoftICE,TRW,ollydbg,loader,peid
(3)dump工具:IceDump,TRW,PEditor,ProcDump32,LordPE
(4)PE文件编辑工具PEditor,ProcDump32,LordPE
(5)重建Import Table工具:ImportREC,ReVirgin
(6)ASProtect脱壳专用工具:Caspr(ASPr V1.1-V1.2有效),Rad(只对ASPr V1.1有效),loader,peid

PEid工具的具体使用方法

1.什么是PE文件

(1)PE是Windows下的可执行文件的格式。这是微软基于UNIX平台的COFF(Common Object File Format,通用文件格式)制成的。微软原本的意思是提高程序的移植型。但是想法是好的,但是实际上只用于Windows系列的操作系统下。
(2)PE文件是指32位的可执行文件,也称PE32。注意:64位的可执行文件称为PE+或PE32+,是PE32的一种扩展,不叫PE64。

2.什么时候需要用到PEid

(1)当你需要快速了解目标程序
(2)快速鉴定一个程序是否正常
(3)它的入口点是什么?
(4) 用什么工具开发的
(5)是否被加了已知壳?
(6)查看它的反汇编代码
(7)PE头结构
(8)脱简易的壳

3.操作实例

(1)拖入一个exe程序。我这里拖入ollydgb.exe
在这里插入图片描述
(2)可以看出是用c++编写
(3)再试试之前的crack me里的Brad Soblesky.exe
在这里插入图片描述
(4)Not a valid PE file.不是有效的pe文件
(5)再试试acid burn
在这里插入图片描述
(6)好像也没有壳
(7)再试试一个crackme05-ajj.2
在这里插入图片描述
(8)看到是upx壳

Edison.W
关注
  • 19
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
有关与脱方法
weixin_43916678的博客
07-15 933
的概念 最早出现是一种专用加密软件技术,用于保护程序不被静态分析。 某些病毒木马程序也利用加壳技术来躲避杀毒软件的查杀。 是一段专门保护软件不被非法修改或反汇编的程序。它们一般都是先于程序运行,拿到控制权。 加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱才可以查看源代码。 常见的主要分两类 压缩:压缩的特点是减少软...
DotNet Id(检测何种.NET混淆器加壳).NET查壳工具
06-23
.NET破解工具:DotNet Id.exe 检测何种.NET混淆器加壳 ,另外辅助其它工具如 Reflector DotNethelper Hexchange , dbgCLR(微软自己的调试器)Editplus 静态工具:Reflector 查看一些类信息 DotNethelper把程序反...
最好的查壳工具DIE (大家可以试试比PEID好用),
04-10
Detect It Easy简称Die,是一款专业查壳工具,比PEID强大得多,能查一次查到底。并支持超大文件读取,其他查壳工具无法打开的程序,这个都能读取。虽然没有PEID出名,但是相当的强大,完全可以替代PEID。 软件特色 绿色免费,不用安装 支持文件拖放 支持添加右键菜单 支持多国语言(包含简体中文) 支持 Windows,Mac,Linux 系统 支持自定义插件 支持脚本编写与定义 支持多种皮肤选择 支持 16 进制编辑
查壳程序(Detect it Easy)[DIE]
03-29
类似于PEiD的查寻DLL EXE 等文件的各种信息的 这个可以直接查询EXE等 多一个选择而已
查壳加壳、脱详细教程
m0_59856804的博客
11-15 6503
查壳加壳、脱详细教程 PEID工具的使用 UPXShell工具的使用
[1198]ApkScan-PKID 查壳工具
周小董
05-20 2607
1、的功能:最本质的功能就是实现加载器,是指在一个程序的外面再包裹上另外一段代码,保护里面的代码不被非法修改或反编译的程序。
7.1 程序加壳
qq_55202378的博客
08-20 4115
程序加壳
查壳工具diel.exe
09-01
查壳工具diel.exe
逆向查壳工具--Exeinfo PE
05-31
2. **查壳工具**:查壳工具用于检测加壳技术,如UPX、ASProtect、VMProtect等。这些可能会使逆向工程师更难以分析程序。Exeinfo PE能识别多种类型,有助于逆向分析工作的进行。 3. **Exeinfo PE的功能**: - *...
PKiD(查壳).rar
11-28
"ApkScan-PKID查壳工具"是一款最新的查壳软件,它可以帮助开发者或安全研究人员快速检查APK文件是否经过了加壳处理,并有可能识别出加壳工具的厂商,这对于进行安全测试和逆向工程工作至关重要。通过使用此类工具,...
FridaAndroid 工具篇:查壳工具大赏 ApkCheckPack
04-06
ApkCheckPack是一款专为Android设计的查壳工具,它能帮助开发者和安全研究人员检测APK文件是否被加壳,以及识别所使用的类型。在本文中,我们将深入探讨Frida与ApkCheckPack如何协同工作,以实现高效且准确的查壳...
PEiD检测 不是有效的PE文件
哼哼唧唧
12-09 4795
在做逆向分析题目的时候用了好几次PEiD检测是否加壳,都显示不是有效的PE文件,在此记录一下原因。,如果显示不是有效的PE文件,说明你的可执行文件为64位,不能用PEiD检测。下面使用Exeinfo PE查看,Exeinfo相当于PEiD的升级版。下载后想使用中文,从右侧按钮的设置中,选择语言为中文即可。直接把64位可执行文件拖入即可查看信息,这里显示。,即没有加壳,就可以直接用IDA进行调试分析啦~附Exeinfo PE下载地址。
查壳加壳的基本原理
LizimU_0911的博客
11-14 972
1.查壳加壳的基本原理 1.1 的分类 1. 通常分为压缩和加密两类。 2. 压缩的特点是减小软件体积大小, 3. 加密种类比较多,不同的侧重点不同,一些单纯保护程序,另一些提供额外的功能,如提供注册机制、使用次数、时间限制等。 1.2 查壳 可以利用PEID软件进行查壳,用PEID打开要查的软件,以扫雷为例,可以看到扫雷是用C++编写的程序,证明这个软件没有,如图1。若有,此处将会显示是用哪种方法加的
结合具体案例说明PEid工具的具体使用方法、用途和含义。
m0_74208186的博客
11-17 4747
1、把需要进行脱的exe文件拖到里面即可,这个是暗组2008 vstart软件的信息。2、也可以直接把需要查壳软件拖到PEiD的界面里,同样能载入到PEiD里(在需要查壳软件上面按住鼠标左键,再拖动你的鼠标的PEiD的窗口里,最后松开你的鼠标左键)默认的脱后的文件放置位置在peid的根目录下。1、打开软件后我们可以单击右上角的三个点的按钮,会弹出一个选择文件的窗口,我们单击我们需要查壳的文件,再点击右下角的 打开 按钮。3、然后我们就可以看到十分详细的信息,比如的信息,入口点的位置,区段……
逆向分析 工具、加壳安全防护篇
有勇气的牛排博客
09-16 8459
逆向分析 工具、加壳安全防护篇
PEiD的基础使用(持续--)
热门推荐
weixin_42263657的博客
12-03 1万+
首先了解下什么是PE文件: PE是Windows下的可执行文件的格式。这是微软基于UNIX平台的COFF(Common Object File Format,通用文件格式)制成的。微软原本的意思是提高程序的移植型。但是想法是好的,但是实际上只用于Windows系列的操作系统下。 PE文件是指32位的可执行文件,也称PE32。注意:64位的可执行文件称为PE+或PE32+,是PE32的一种扩展,不...
APP渗透—查脱、反编译、重打包签名
剁椒鱼头没剁椒的博客
04-27 7150
在之前的文章都主要都是对APK文件进行信息收集,而信息收集后就需要对APP漏洞进行挖掘,但是从本质上来看,APP其实就是将原先应该部署在网站上的页面塞入APP中,所有的调用都是给予服务器,而且在对WEB漏洞进行挖掘的时候,除了部分漏洞是基于本地页面所导致的,其它的可以说基本上就是由于服务端的问题。
web安全之跨站脚本攻击xss
最新发布
奔跑的小猪仔
07-17 511
xss 跨站脚本攻击。它指的是恶意攻击者往web页面里插入恶意js代码,当用户浏览该页之时,嵌入其中web里面的js代码会被执行,从而达到恶意的特殊目的。
exeinfope查壳教程
07-10
### 回答1: exeinfope是一款用于查找和识别PE文件的工具,它可以帮助我们分析二进制文件以及了解其内部结构和特征。虽然它本身不是用来对抗或解除的工具,但可以在确定文件的保护机制和使用的安全措施后,为我们寻找更好的解决办法提供指导。 首先,我们需要下载和安装exeinfope工具。一些版本的exeinfope可以在其官方网站或其他可信源进行下载。 安装完成后,我们可以打开工具并选择我们想要分析的PE文件。在文件菜单中,选择"Open"选项并浏览到要分析的文件路径。另一种方法是将PE文件拖放到exeinfope窗口中。 一旦PE文件加载完成,exeinfope会显示有关该文件的基本信息,如文件大小、入口点、反汇编代码等。接下来,我们可以在工具栏中点击"PE Section"选项卡来查看有关文件节的详细信息,以及它们的属性和特征。 要查找和识别,我们可以使用工具栏中的"QuickScan"选项卡。在这个选项卡中,我们可以看到有关文件的一些重要信息,如文件头标志、导入表、资源、加密段等。 在"QuickScan"选项卡下方,我们可以找到一些按钮,如"Search"和"Scan"。这些按钮可以帮助我们在已加载的PE文件中搜索和扫描特定的特征和字符串,可能与相关。我们可以使用这些功能来探查文件的保护机制以及识别是否使用了。 exeinfope还提供了一些其他功能和选项,如PE编辑器、加密解密工具等。这些工具可以进一步协助我们分析和解决与有关的问题。 需要注意的是,exeinfope仅用于查找和识别PE文件的特征和保护机制,不提供直接的解决方案。为了有效地解决相关的问题,我们可能需要进一步的研究和使用其他高级工具,如IDA Pro或OllyDbg,以获得更深入的分析和操作能力。 ### 回答2: exeinfope是一款常用的PE文件信息分析工具,可以用于查看和判断一个可执行文件是否被包裹。下面是一个关于如何使用exeinfope来查壳的简单教程: 步骤一:下载并安装exeinfope工具。可以在官方网站或一些软件下载网站上找到并下载exeinfope,然后按照提示完成安装过程。 步骤二:打开exeinfope工具。启动exeinfope,并点击打开按钮选择需要分析的可执行文件。 步骤三:进行检测。在exeinfope工具的界面中,可以看到文件的各种信息。查找到"Packers Detected"或者"Protection Detected"的选项,并查看是否有的信息。如果有的信息显示出来,说明该可执行文件被包裹。 步骤四:查看的详细信息。如果exeinfope检测到,可以进一步点击的名称或者"Plugins"选项来查看具体的信息。这些信息可以帮助你了解所用的功能和特点。 步骤五:根据具体情况进行解。根据exeinfope工具所显示的的信息,可以针对性地选择相应的解工具进行解操作。不同的使用不同的解方法和工具,需要根据具体情况进行处理。 需要注意的是,exeinfope工具是一款查壳工具,主要用于分析PE文件是否被,而不是提供具体的解方法。对于复杂的,可能需要使用其他专门的解工具,或者进行进一步的逆向分析。在进行分析和解操作时,务必遵守相关法律法规,以及遵循道德和伦理规范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Edison.W

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值