180218 逆向-脱壳技术(1)

最新推荐文章于 2023-06-18 13:11:16 发布
最新推荐文章于 2023-06-18 13:11:16 发布
阅读量445 收藏 2
点赞数
分类专栏: 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/79643989
版权

1625-5 王子昂 总结《2018年2月18日》 【连续第506天总结】
A. 脱壳技术(1)
B.

加载过程

壳和病毒在有些方面类似,都需要比源程序代码更早的获得控制权。

  1. 保存入口参数
    初始化时保存各寄存器的值,执行完毕后再恢复各寄存器。通常使用pushad\popad, pushfd\popfd
  2. 获取壳自己所需要使用的API
    一般外壳的输入表中只有GetProcAddress, GetModuleHandle和LoadLibrary这几个API,甚至连这几个API也自己实现而不用导入的方式。
  3. 解密原程序的区块
    将原程序的代码还原,放置在合适的内存位置
  4. 初始化IAT
    IAT的填写本来应该由PE装载器实现。但是由于壳取代了原来的头部构造了输入表,因此PE装载器只是完成了壳的输入表。因此原程序的输入表只好由壳来完成了:将所有导入函数填写在IAT表中
  5. 处理重定位
    对于EXE程序来说,基地址默认情况下都是0x400000,每个程序都会给予单独的虚拟内存,基址一般是不会变的,因此重定位表就不需要了。所以有的壳会干脆把重定位表也删除来精简空间
    但是对于DLL程序,重定位表是必须的。
  6. 跳转到OEP
    恢复原程序的运行
    值得一提的是早期的壳程序和原程序(OEP)所在区块一般不同,因此分界线很明显
    现在越来越多的壳为了应对这一点将OEP的一段代码移动到外壳的部分里,然后再将OEP处的代码删除,从而改动模糊这条分界线

C. 明日计划
脱壳技术

奈沙夜影
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
脱壳技术脱壳技术脱壳技术脱壳技术
11-29
关于脱壳技术的学习 希望对大家有用脱壳技术脱壳技术脱壳技术
脱壳技术简谈
热门推荐
islq's space
07-03 1万+
首先我想大家应该先明白“壳”的概念。在自然界中,我想大家对壳这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在功能上有很多相同的
逆向基础:脱壳技术
lm19770429的专栏
11-15 343
区块的对齐值 有两种对齐值,一种用于磁盘文件内,另一种用于内存中。 在PE文件头里,FileAlignment定义了磁盘区块的对齐值。200h,512 SectionAlignment定义了内存中区块的对齐值。1000h,4K 应用程序加载映射示意图 寻找OEP OEP是程序的原始入口点,一个正常的程序只有EP,只有入口点被修改的程序(加壳等),才会拥有OEP。 ...
Re-脱壳技术 脱壳学习(1): 壳的概念学习
逆向随笔
12-26 568
壳的概念 壳是在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。 壳是在一个程序的外面再包裹上另外一段代码,保护里面的代码不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。 壳的分类 壳分为两类:压缩壳和加密壳 压缩壳 使用压缩壳可以帮助缩减 PE 文件的大小,隐藏了 PE 文件内部代码和资源,便于网络传输和保存。 压缩壳用途: 1...
Re-脱壳技术 脱壳学习(2): 脱壳七法
逆向随笔
12-26 788
1. ESP定律 使用条件:OD载入之后F8单步一下,寄存器ESP中存放的值被改变(开始第一条语句为pushad) 1. 用OD载入 2. 先F8单步运行一步 发现ESP寄存器被改变,可以使用ESP定律 3.设置硬件断点 右键数据窗口跟随,|| 或者直接点HW break[ESP],此插件会自动帮忙下好硬件断点 数据窗口设置 从最开始的数据开始选,(别选太少就行)然后右键→断点→硬...
逆向分析脱壳技巧总结
10-30
逆向分析脱壳技巧总结,其中汇集了逆向分析所需要用的各种方法和技术总结,对于初学者有很好的学习帮助。
Java逆向破解技术探讨
08-24
脱壳技术是指去除程序的保护壳,以便更容易地进行分析和修改,Java程序通常采用加壳技术进行保护。反汇编是将机器指令转换为可读的汇编语言的过程,通过反汇编,我们可以了解程序的底层实现细节,包括指令集、寄存器...
iOS逆向工程使用dumpdecrypted工具给App脱壳
09-01
iOS逆向工程是一种技术,用于分析和理解iOS应用程序的工作原理,通常用于安全研究、调试或破解。在iOS系统中,AppStore下载的App都进行了加密处理,这就是所谓的“加壳”,目的是保护应用的代码不被轻易反编译或篡改...
论文研究-Android加固应用脱壳技术研究 .pdf
08-17
Android加固应用脱壳技术研究,吴博,郭燕慧,随着移动互联网的发展,移动安全加固技术逐步普及,被加固的恶意应用带来的问题日益突出,传统的应用检测在加固应用的逆向分析环
万能脱壳工具 - 一款在沙盒中运行的脱壳工具
最新发布
01-27
如果在查壳后,Unpack按钮可用,则表示可以对当前处理文件进行脱壳处理,采用虚拟机脱壳技术,您不必担心当前处理文件可能危害系统。 三、PE编辑功能: 本程序主界面可显示被检查的程序的入口点/入口点物理偏移,...
逆向学习1-[脱壳技术]/篇1
m0_52343643的博客
04-21 2506
壳 壳是包裹在程序外的一层代码,通常先于程序执行,达到防止源程序不被非法修改或反编译的目的 壳的分类 壳分为压缩壳和加密壳 压缩壳 压缩壳主要是帮助减少PE文件(Windows下的文件格式)大小,隐藏PE文件内部的代码和资源 常见的压缩壳有:Upx、ASpack、PECompat 加密壳 加密壳应用有多种防止代码逆向分析的技术,用该壳的PE文件会比原文件大很多,有时恶意程序也用加密壳来降低杀毒软件的扫描 常见的加密壳有:ASProtector、Armadillo、EXECryptor、T.
180225 逆向-脱壳技术(8)
whklhhhh的博客
03-22 467
1625-5 王子昂 总结《2018年2月25日》 【连续第512天总结】 A. 脱壳技术(8)脱压缩壳的技巧 B. 压缩壳 UPX UPX壳既破坏了输入表也破坏了重定位表,因此尽量使用自解压命令来脱 upx -d File 有些工具为了防止UPX的自解压会修改UPX的标志位使其识别失败,例如UPXPR和UPX-Scrambler 此时就需要修复各个标志位 ...
浅谈脱壳中的Dump技术
qiaoli的知识备忘录
08-18 445
原文连接: http://bbs.pediy.com/showthread.php?t=17624 在此先记录下网址,以后再整理原文,以免忘了。
脱壳方法总结
宗泽的博客
06-09 9355
一、单步跟踪法   脱壳的方法有很多,先来讲脱壳方法中最基础的单步跟踪法。单步跟踪法就是利用OD的单条指令执行功能,从壳的入口一直执行到OEP,最终通过这个OEP将原程序dump出来。然当,在单步跟踪的时候需要跳过一些不能执行到的指令。   使用单步跟踪法追踪OEP的常见步骤:   1、用OD载入待脱壳文件,如果出现压缩提示,选择“不分析代码”;   2、向下单步跟踪,实现向下的跳转;   3、遇...
180226 逆向-脱壳技术(9)
whklhhhh的博客
03-22 349
1625-5 王子昂 总结《2018年2月26日》 【连续第513天总结】 A. 脱壳技术(9)加密壳的一些技术 B. 加密壳 ASProtect 这款壳由于过于经典,因此在看雪等论坛上有多篇分析文章,不再赘述脱壳方法 主要列举一些技术 Emulate standard system functions 它将API入口一段代码抽到外壳里,然后输入表里填充外壳地址,...
180220 逆向-脱壳技术(3)
whklhhhh的博客
03-21 420
1625-5 王子昂 总结《2018年2月20日》 【连续第507天总结】 A. 脱壳技术(3)抓取内存映像 B. 抓取内存映像 又叫转存、Dump 就是把内存中的指定数据保存为文件,写入磁盘中 脱壳时,如果将解密后的原程序dump出来,就得到了原程序的核心部分,只要修复IAT等部分就基本还原了 而在何时dump文件是有一定技巧的。 一般在OEP处dump。 如果运行以后du...
180224 逆向-脱壳技术(7)
whklhhhh的博客
03-21 442
1625-5 王子昂 总结《2018年2月24日》 【连续第511天总结】 A. 脱壳技术(7) PE文件的优化 B. 脱壳后的优化 一般脱壳没有将外壳本身的代码去除,资源也没有完全释放,此时脱壳后的程序会比原始程序大 另外虽然能正常运行,但在一些场合下可能会遇到问题,例如一些汉化工具不识别脱壳后的文件,或某些功能无效等 优化输入表存放位置 用ImportREC重建输入表,一...
史上最全最完整,最详细,软件保护技术-程序脱壳篇-逆向工程学习记录
书山有路勤为径,学海无涯苦作舟
06-18 3749
历史:壳是最早出现的专用加密软件技术!作用:可以是开发者未来保护自己的代码不被借鉴、破解、逆向;也可用来病毒、木马、蠕虫隐藏恶意代码,不被杀毒如软件查杀!预习:vmp纯虚拟机壳,目前公认认为公认最强。温馨提示:脱壳上瘾,可不要随意传播哦!
脱壳一般会用的方法
zimengmeng131的博客
05-10 270
一、单步跟踪法   脱壳的方法有很多,先来讲脱壳方法中最基础的单步跟踪法。单步跟踪法就是利用OD的单条指令执行功能,从壳的入口一直执行到OEP,最终通过这个OEP将原程序dump出来。然当,在单步跟踪的时候需要跳过一些不能执行到的指令。   使用单步跟踪法追踪OEP的常见步骤:   1、用OD载入待脱壳文件,如果出现压缩提示,选择“不分析代码”;   2、向下单步跟踪,实现向下的跳转; ...
一个软件如何脱壳逆向解析
07-13
软件脱壳逆向工程是一种研究和分析软件的方法,但需要注意的是,这些活动可能涉及到侵犯软件的版权和法律问题。在进行任何逆向工程前,请确保您遵守适用的法律法规,并且只对您有合法所有权的软件进行操作。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值