加壳和脱壳

已于 2023-11-02 18:11:46 修改
阅读量161 收藏
点赞数
文章标签: linux 前端 安全
于 2023-11-02 16:50:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51409218/article/details/134186336
版权

1.加壳的目的是什么?

  • 缩减程序的大小
  • 阻碍对加壳程序的探测和分析

2.加壳的主要流程是什么?

  • 将一个可执行文件转化成一个新的可执行文件
  • 原来的可执行文件作为数据存储在一个新的文件中

最复杂的是解壳过程的代码

1.读取主模块的数据

2.解密,得到原来的PE文件,仅仅是一堆数据,暂时还不能运行

3.以挂起的形式创建进程:CreateProcess

4.获取外壳程序的context

5.卸载外壳程序

6.在指定的位置分配空间:

        为什么要在指定的位置分配呢?

        位置就是src(原始程序)的imagebase,大小就是src的sizeofimage

7.1.如果申请空间成功,将src的PE文件拉伸,复制到该空间中

7.2.如果申请空间失败,判断该src程序是否有重定位表

为什么要判断是否有重定位表?

7.2.1如果申请空间失败,并且有重定位表,则可在任意位置申请空间,大小还是 imagebase,然后将PE拉伸修复重定位表。

7.2.2.如果申请空间失败并且没有重定位表,则直接返回,失败。

8.修改外壳程序的Context:

将context的imagebase修改为Src的imagebase

将外壳程序的OEP 修改为Src的OEP

9.设置context,并恢复主线程

10.终止外壳程序,解壳过程结束。

3.图解程序加壳过程

可执行程序的入口点指向loader加载器,原始的程序存储在加壳程序的一个或多个附加的节中

pe文件加壳技术研究与实现 research and implementation of packing technology for pe files.pdf

4.具体的脱壳操作

  • 将原始的文件脱壳到内存中
  • 解析原始的可执行文件的所有的导入函数
  • 将可执行程序转移到OEP

5.怎么判断一个程序是否是加壳程序?

  • 导入函数很少,只有LoadLibrary和GetprocAddress
  • IDA打开时只有少量代码被识别
  • OD打开时有程序可能被加壳的警告
  • 程序的节名中包含了某款加壳器的表示
  • 程序有不正常的节大小
  • 加壳探测工具

6.手动脱壳的方法都有哪些?

  • 编写自动化脚本获取脱壳部分
  • 在调试器中动态运行,在特殊的API函数处下断点,内存中跟踪找到dump的原始可执行文件

7.加密壳可以分为两类

(1)二进制壳

不改变指令(硬编码)的含义

将PE文件做一个变形,对关键部位进行加密

在内存中展开的时候一定是原来的模样(必须保证能够运行)

(2)源代码加密

tntlbb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
多进程、加壳、自修改程序逆向步骤(shm_re程序为例)
qq_42843654的博客
05-29 741
多进程、加壳、自修改程序gdb调试方法与逆向步骤(shm_re程序为例) shm_re程序下载地址:链接:https://pan.baidu.com/s/17eoqoutWcoM-9B03Y2iLWg 提取码:ivqk gdb调试多进程 1.gdb调试 常用命令 list/l 行号:显示binFile源代码,接着上次的位置往下列,每次列10行。 list/l 函数名:列出某个函数的源代码。 r或...
加壳
dohxxx的博客
12-29 758
加壳 整个头部是以0x200粒度对齐的, 一般情况下,头部都有0x400字节的大小. 整个头部以区段头结尾. 然而区段头并没有完全占用剩下的所有空间, 往往都会有一些剩余的空间被0填充.当添加新的区段头的时候, 其实就是将新的区段头数据填入到这些剩余的填充空间中. 下面开始给你的程序开始增加内容,通过2种方法, 不管用什么方法,都需要先记录入口点,一会加区段的时候需要用,如果没记住,会有很大麻...
当前常用的加壳技术
weixin_33877092的博客
06-29 277
首先声明,不要被这个题目所迷惑,我所谓的流行只是我以为他应该要流行,并不是说一定就是现在所流行的技术,再者,我很菜,错误之处,请各位海涵.我并不太清楚壳的历史,因为关于它的特殊性再加上我所能了解的信息也非常局限性,在我看来第一款壳应该就是upx,但是或许事实并不是这样,因为地下壳是那么的多.而我并不知道第一款加密或者意想加密的壳是哪个,一是因为加密这个定义比较模...
程序加壳脱壳
最新发布
ultramand的博客
12-10 492
加壳技术并不是绝对安全的,只能增加攻击者对程序的分析和修改的难度,而不能完全阻止逆向工程。脱壳的过程通常需要进行逆向工程和分析加壳程序的结构和算法。(Packaging)是指在一个可执行文件(二进制文件)外部添加额外的数据或代码,以增强程序的功能、安全性或保护程序的知识产权。数字版权保护:加壳可以在程序中添加授权验证机制,以限制程序的使用范围或时间,并防止未经授权的复制和分发。反调试和反动态分析:在程序集中添加反调试和反动态分析的代码,以检测和阻止调试器、动态分析工具和反汇编工具的使用。
加壳技术-safengine
xearn的专栏
01-27 663
    Safengine是一个具有反调试、反附加、动态自效验等功能,同时提供了对代码的变形、乱序和虚拟化等功能的应用程序保护壳,是一款简单易用的软件保护工具,它改变您的软件执行流程,以达到阻碍自动分析,消耗破解时间、精力的目的。     Safengine的代码分析引擎将在保护应用程序时提供完整的分析,从而对应用程序进行系统化的保护,将您的原始代码移动和变形,并且加入无数垃圾代码和反调试、跟踪...
黑客逆向破解基础-1:壳、加壳脱壳分别是什么?加壳的解压原理介绍。
热门推荐
JankinChan的博客
04-27 1万+
一、壳的概念 壳的概念,在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样,其实都是命名上的方法罢了...
加壳脱壳.txt
06-10
加壳脱壳.txt
UPX加壳脱壳
02-26
`upx加壳脱壳机(UPX Easy GUI)下载 1.7绿色汉化版_ - pc6下载站.url` 和 `Homepage.url` 分别指向软件的下载页面和官方网站;`UPX` 文件夹可能包含UPX命令行工具的二进制文件;`Langs` 文件夹可能包含软件支持的不同...
UPX加壳/脱壳程序
07-04
这个"UPX加壳/脱壳程序"可能是一个用Delphi编写的工具,通过Unit1和Unit2的源代码实现GUI交互,调用upx.exe来执行实际的加壳脱壳操作。Win32可能是项目的配置信息,表明这适用于32位Windows系统。 在使用UPX时,...
加壳脱壳 新手必看 初学者必须掌握原理 (壳,加壳,脱壳,介绍壳的一些基本常识).zip
03-20
加壳脱壳 新手必看 初学者必须掌握原理 (壳,加壳,脱壳,介绍壳的一些基本常识).zip
文件加壳工具
04-22
【软件使用方法】: 1.绿色版软件,不需要安装;压缩包里如果有【@绿化工具.exe、!)绿化.bat 、 !)绿化.reg 、 !)绿化.cmd 、@Install_绿化.exe、 !)双击导入.reg 、 !)注册导入.reg】等类似文件。 请先要运行该类文件,这样才能让程序正常运行。 2.安装好软件后,将注册机放在安装目录的文件夹内 3.双击注册机,软件运行,看到有注册按钮后,点注册,在注册信息里填写用户名等,注册码随便填写 4.点击确定按钮,注册机将出现正确的注册码,将刚才的注册名和正确注册码填入软件即可注册。 破解补丁使用方法: 1.安装好软件后,将补丁放在安装目录文件夹内 2.运行补丁,后即可使用软件。即使软件显示未注册,但所有功能和时间限制都已经破除
软件加壳脱壳技术的实现
02-11
该文档,详细描写了软件加壳脱壳技术的实现,有思路,有流程图,详细易懂。
一款超牛的加壳工具,对可执行文件都可以加壳
11-12
一款超牛的加壳工具,可以对木马加壳,对EXE,BAT,等可执行文件加壳...
winupack加壳工具
01-10
1.极高的无损压缩率,但比其他常用工具较慢. 2.软件本身极小,不到20K. 3.支持长文件名. 4.支持通配符. 5.支持固实压缩技术. 6.支持制作自解压文件. 7.图形界面,支持文件拖放。
加壳原理及实现流程与导入表结构分析(C++源代码)
Tokameine的博客
05-29 1576
参考文章: 《加密与解密》 https://blog.csdn.net/qq_31507523/article/details/89438410
【Android 逆向】加壳技术简介 ( 动态加载 | 第一代加壳技术 - DEX 整体加固 | 第二代加壳技术 - 函数抽取 | 第三代加壳技术 - VMP / Dex2C | 动态库加壳技术 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
12-12 2493
一、动态加载、 二、第一代加壳技术 ( DEX 整体加固 )、 三、第二代加壳技术 ( 函数抽取 )、 四、第三代加壳技术 ( Java 函数 -> Native 函数 )、 五、so 动态库加壳
论如何给程序加壳
雾削木的CSDN博客
08-25 3106
加壳是一种很好的压缩技术,当你编写的程序如可直接看到源码的bat,vbs,html等,还是 exe,dll等,都可以进行加壳,如果没有找到你编写文件的后缀,可以采用转换的方法,列如:bat转exe,vbs转exe等等等,因为转换过本身就不容易看到源码,所以可以再通过加壳的方式,进行层层加密,使你的程序更加不容易被破解,当然,这也是有副作用的,如果你加 太多的壳,会导致你的程序启动很慢,甚至启动不了,而且还有一种可能性就是失去兼容性, 本来你的程序是可以在XP , win7 win10 win8等系统上运行的
软件加壳脱壳
djimon的专栏
04-18 1696
加壳一般是指保护程序资源的方法. 脱壳一般是指除掉程序的保护,用来修改程序资源. 病毒加壳技术与脱壳杀毒方法 : 壳是什么?脱壳又是什么?这是很多经常感到迷惑和经常提出的问题,其实这个问题一点也不幼稚。当你想听说脱壳这个名词并试着去了解的时候,说明你已经在各个安全站点很有了一段日子了。下面,我们进入“壳”的世 界吧。 一、金蝉脱壳的故事 我先想讲个故事吧。那就是金蝉脱壳。金蝉脱壳属于三十六计中的混
软件保护技术:加壳脱壳
Reveone的博客
08-29 3943
以UPX为例对加壳原理进行粗浅的分析,以及对UPX加壳后的程序进行手工脱壳实操
虚拟机脱壳技术详解:AV引擎应对加壳的利器
静态脱壳和调试器脱壳是常见的脱壳方法,但复杂加密壳往往使这些方法难以奏效,而虚拟机脱壳因其灵活性和模拟能力,成为了解决这个问题的有效途径。 在虚拟机脱壳技术部分,作者详细阐述了如何实现自动化。首先是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tntlbb

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值