有关壳与脱壳方法

最新推荐文章于 2024-04-13 10:48:47 发布
最新推荐文章于 2024-04-13 10:48:47 发布
阅读量931 收藏 3
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43916678/article/details/95937956
版权

壳的概念

壳最早出现是一种专用加密软件技术,用于保护程序不被静态分析。
某些病毒木马程序也利用加壳技术来躲避杀毒软件的查杀。

壳是一段专门保护软件不被非法修改或反汇编的程序。它们一般都是先于程序运行,拿到控制权。

加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。

常见的壳主要分两类

  • 压缩壳:压缩壳的特点是减少软件体积大小,加密保护不是重点。
    常见的压缩壳有:UPX、ASPack、PECompact

  • 加密壳:最主要的目的是保护程序,一些加密壳除了提供加密功能外,还提供注册机保护功能。
    常见的加密壳有:ASProtect、Armadillo(穿山甲)、EXECryptor、Themida

脱壳

脱壳就是找到程序的入口点OEP,然后dump内存中数据到文件,并修复成一个可运行文件。也就是将加壳后的程序恢复原来状态。脱壳成功的标志是文件能正常运行。

  • 手动脱壳主要分四步
    1、查壳:PEiD等查壳工具
    2、寻找OEP:通过OD动态调试跟踪到入口处
    3、Dump文件:OD、LoadPE等工具读取内存数据并写入文件
    4、修复:利用ImportREC等工具修复输入表或手动修复

脱壳方法

一、ESP定律法

ESP定律的原理是堆栈平衡,ESP定律适用于几乎全部的压缩壳,部分加密壳。但是在何时下断点避开校验,何时下断OD才能断下来,这还需要多多总结和多多积累。

  • 使用ESP定律追踪OEP的常见步骤:
    1、基于ESP原理,我们可以通过F8步进,注意右面寄存器FPU的显示,当有且只有ESP和EIP为红色时,我们可以用ESP定律了。
    2、右键ESP后面那个地址,然后选择在数据窗口中跟随。<
最低0.47元/天 解锁文章
星辞归野
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
简单了解
akdelt的博客
01-25 1206
为了防止程序被非法修改或反编译,开发人员通常会在二程序中加入一段如同保护层的代码,使得原程序代码失去了原本的面目,这段如同保护层的代码和自然界的在功能上十分相近,因此把这样的程序称之为“”。一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。
的基本步骤
行走在黑暗中的狙击者
09-01 2682
的基本步骤 1.查(ExeinfoPe(推荐)、PEID)---> 2.寻找OEP(OD)--->(寻找过程中如出现代码异常需要先右击分析-->从模块中删除分析) 3.--->用OD自带的Ollydump直接,但因此功能比较老bug较多,完可能会出现软件无法打开、内存无法读取,无法定位dll等错误,所以一律推荐在XP下运行OD查找到OEP后,使用Lo...
upx(最简单方法之一)
最新发布
2301_80820096的博客
04-13 1037
发现刚开始又四个push,把四个寄存器压入栈中,相当于pushed,为了使栈平衡,对应的应该有4个pop或一个poped(这一段入栈出栈操作就是的程序)根据入栈出栈为相反动作,直接搜索(ctrl+f)关键指令 pop rbp。首先运行到程序入口,执行push命令,发现esp(栈顶在变化)再次拖入ida中,发现出现main函数进一步分析即可。找到pop后真正的oep也就在紧接着的jmp指令中。可看到这就是程序真正的入口点(在此处进行即可)首先拖入到od中,找到程序的入口点。首先使用快速方法
方法汇总
weixin_34217711的博客
05-19 549
一、基础知识  1、的概念  在第三章中讲了加的概念,与加技术相对的就是技术了。就是将已经加的程序从中剥离出来。既然能给程序进行加,那也会有相应的方法。尽管理在有些很难掉,但是技术也在不断的进步,而且在不断竞争中发展状大。  2、OEP  OPE的意思就像它的名字一样容易理解。OEP就是原程序的入口点,也就是真正的入口点。  当被加的程序运行后,首先运行的是...
压缩
weixin_41487541的博客
06-27 559
ESP定律可以找到大部分压缩的OEP,但是对于FSG失效。目前常见的FSG手方法大多是单步向下,单步一定能找到OEP但是会消耗时间并且可能出现跟飞的情况。可以通过OD中的SFX(自解压)设置选项来快速找到OEP。...
qq_35426012的博客
12-02 1284
我们知道压缩实现原理了,所以大概知道怎么拖了,只要我们找到解压后的代码入口点,在把他dump下来基本上就成功一半了,因为dump下来的IAT此时存放的是函数地址,而不是函数名的RVA,而且你也不知道对方有没有抹掉导入表,所以需要修复导入表 步骤大致如下 查找OEP OEP的识别:经验、案例收集 1.1 VC编译程序的OEP:API断点QueryPerformanceCounter...
常见android app加固厂商方法研究
08-28
第四代方法主要是通过arm vmp来。arm vmp是通过使用arm指令来加固应用程序的方法方法主要有基于特征的识别代码、内存Dump法、文件监视法、Hook法、定制系统动态调试法等。 六、结论 加固厂商...
c#exe查看源码的快速方法 c# winform 反编译、查加综合方法
04-30
c# winform 反编译、查加综合方法 有的项目已经老旧,已经无人咨询业务、逻辑,能不能看里面的源码呢? 这里有几套工具,查看过多个项目,期望对大家有帮助。 ...
工具集合.zip
08-11
"查工具集合.zip"这个压缩包显然聚焦于安卓APP的逆向工程,特别是针对APP的保护进行检查和去除的过程。以下是相关知识点的详细说明: 1. **安卓APP逆向**:安卓应用是用Java或其他语言编写,并编译成Dalvik...
常见几种方法.pdf
09-03
在这篇文章中,我们将讨论常见的方法,包括压缩和加密两种类型的是指从程序中删除保护的过程。 一、概论 的出现是程序作者想对程序资源进行压缩和注册保护的目的,因此可以把分为压缩和...
DNGuard_HVM_工具.zip
12-31
《DNGuard_HVM_工具:深入解析与应用》 DNGuard_HVM_工具是一款专为处理HVM(Highly Virtualized Machine)保护设计的专业软件。在IT安全领域,尤其是逆向工程和软件保护研究中,工具扮演着至关重要...
用于对C#,.net开发的程序进行
11-02
用于对程序进行,学习使用,切莫用于商业,望对你有所帮助。
实例VS2018-2013
12-07
互联网上编译出来的试炼品 内含实例:VS2018和VS2013
第一篇(基础知识)
Winter_Zero的博客
12-27 1395
什么是的作用是什么? 简单举个例子:鸡蛋 “ 鸡蛋 ” 也是,其作用就是保护里面的蛋白和蛋黄。 “ 软件上的 ” 本质上就是代码,但是我们形象的称之为。其作用就是保护程序,确切的说是隐藏OEP( 原始入口点 ) 在吃鸡蛋的时候,我们要做的第一件事,就是“ ”。 同样的,“ 软件上的 ”也是类似的,程序在运行的时候,首先就是运行的代码(程序自己给自己)。 那么怎么辨别...
学习之 -- 步骤总结
cs840610862的博客
03-02 954
步骤 最近在学习的教程,接下来总结一下手动的方式 1. 使用OD调试 常用的方式有以下 单步跟踪法: 这个方法是万能的, 思路就是, 碰到向上跳转, F4执行到下一步;如果函数中断, 则步入函数,继续单步, 一直到找到入口 ESP定律法: 找到开头关键的push后的一句,然后数据窗口跟随到 ESP寄存器的地址,在数据窗口的地址处右键下访问断点,然后直接运行,如果不是真正的入口...
逆向破解程序篇-压缩
iqiqiya的博客
04-11 6088
一、普及What?所谓“”就是专门压缩的工具。   这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的在功能上有很多相似的地方,所以我们就形象地称之为程序的。WHY?① 对程序专门进行...
工具简介
Hank's Techblog
10-15 3988
<br />1.程序编写语言: <br />常见的程序制作语言有:<br />Borland Delphi 6.0 - 7.0<br />Microsoft Visual C++ 6.0<br />Microsoft Visual Basic 5.0 / 6.0<br />还有汇编、易语言等。 很多软件都通过加保护来提高软件的破解难度,下面我们简单的介绍一下加工具。 <br />2.软件加工具介绍: <br />II 压缩介绍: <br />常见压缩有:ASPack、UPX、PeCompact、N
各种语言常用的特征
weixin_30432007的博客
04-05 586
闲得无聊搜集的一些OEP和Section,希望能对研究的朋友们帮上一点小忙。**********************************************************************BorlandC++1999.text.data.tls.rdata.idata.edata.rsrc.reloc00401000Find>$/EB...
目前常见的加密列表
热门推荐
每天进步一点点就好
02-10 1万+
这是在unpack论坛上面看到的,先备份下来,有时间了解一下吧。  1. Aspack, UPX, PeCompact等压缩  2. Hying's pearmor 0.4x, Yoda's Cryptor & Protector, forgot的仙剑,等简单加密    3. Pelock, Telock, Svk Protector等
第45章-ReCrypt v0.801
08-03
在本章中,作者首先提到ReCrypt v0.80是一种难以用常规方法如OllyDbg的保护层,尤其是当配合隐藏插件程序时,程序仍会报错。尽管其他调试器可能也能处理这种情况,但教程的核心是使用OllyDbg。因此,作者选择...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值