![](https://img-blog.csdnimg.cn/20190902134240542.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
加壳脱壳
小哈龙
一颗勇往直前的心
展开
-
程序的壳
1.壳:加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段. 加壳过的程序可以直接运行,但是不能查看源代码.要经过脱壳才可以查看源代码. 加壳:其实是利用特殊的算法,对EXE、DLL文件里的资源进行压缩。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。解压原理,是加壳工具在文件头里加了一段指令,告诉CPU,怎么才能解压自己。现原创 2015-12-01 19:35:50 · 5312 阅读 · 0 评论 -
程序输入表修复
1.使用的一款修复输入表的工具:Import REConstructor,如下图所示: 2.一个加过壳的程序在经过脱壳后,输入表一般会出现问题,出现各种程序不能运行的情况,这时就需要修复输入表。打开未脱壳的程序(因为该修复输入表的程序)原创 2015-12-07 18:38:55 · 2248 阅读 · 1 评论 -
目前自己的几种脱壳方式
1. FSG壳: 针对FSG壳 一般的思路是F8一路向下,遇见向上的跳转,直接在跳转语句后面下断点F9跳过,一路循环此过程,知道程序的OEP处,(自己先去查看内存中各段的内存地址区间判断程序的OEP大概位置) 针对FSG壳另一种快捷的方式(使用OD),首先打开OD载入FSG壳程序,点击“选项“”界面调试“ ”SFX“ 选择”字节方式跟踪真正入口处“原创 2015-12-07 19:58:20 · 1123 阅读 · 0 评论 -
VB程序的脱壳技巧
自己来解决吧,也许能搞出个自创的方法,叫什么Monster脱壳法。在这里大家必须了解一引些小知识。VB程序的启动方式:每个VB程序通常都会调用到许多的API,但是其中有一个API是雷打不动的,这就是我们都知道的ThunRTMain函数。VB程序在运行时,都会首先调用ThunRTMain函数,ThunRTMain函数将会为程序初始化进程,并获取进程ID等做一些转载 2016-06-06 17:49:54 · 4152 阅读 · 0 评论 -
程序阻碍OD调试的方式2
1.介绍一下API函数CreateToolhelp32SnapshotCreateToolhelp32Snapshot函数通过获取进程信息为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程建立一个快照.说到底,可以获取系统中正在运行的进程信息,线程信息,等折叠编辑本段函数原型:HANDLE WINAPI Cre原创 2015-11-30 18:11:57 · 879 阅读 · 0 评论 -
程序阻碍OD调试的方式1
一个简单软件阻碍OD调试的方式:1.API函数IsDebuggerPresent 确定调用进程是否由用户模式的调试器调试。 语法 BOOL WINAPI IsDebuggerPresent(void); 参数 该函数没有参数 返回值 如果当前进程运行在调试器的上原创 2015-11-30 18:04:09 · 2989 阅读 · 0 评论