180224 逆向-脱壳技术(7)

最新推荐文章于 2024-01-25 16:59:01 发布
最新推荐文章于 2024-01-25 16:59:01 发布
阅读量443 收藏
点赞数
分类专栏: 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/79644018
版权

1625-5 王子昂 总结《2018年2月24日》 【连续第511天总结】
A. 脱壳技术(7) PE文件的优化
B.

脱壳后的优化

一般脱壳没有将外壳本身的代码去除,资源也没有完全释放,此时脱壳后的程序会比原始程序大
另外虽然能正常运行,但在一些场合下可能会遇到问题,例如一些汉化工具不识别脱壳后的文件,或某些功能无效等

优化输入表存放位置

用ImportREC重建输入表,一般是将生成的表放在新增的区块上。
这里存在可以优化的余地–原输入表位置一般存放在.data区块上

因此可以在该区块中找一片属性为“只读”的地方(防止被程序征用写入),将输入表复制过去即可

优化资源

有些软件脱壳后的资源不可查看、编辑,或者能编辑但无法保存,这是因为脱壳后资源没有完全释放

如Icon、Group icon等资源是放在外壳的内存空间中的,正常脱壳时没有把它们还原到应该呆的地方(.rsrc区段)导致无法读取或编辑

资源修复工具有很多,例如DT_ResFix, freeRes等

优化区段

下一步就是去除多余代码–外壳区段了,将这段不再需要被调用的代码删除即可

优化文件头

有一些文件头的字段需要被修复,重要的有以下几个:

  • EntryPoint
    函数入口点OEP,一般ImportREC会自动修正
  • BaseOfCode
    代码段的起始RVA,一般是第一个区段的RVA
  • BaseOfData
    数据段的起始RVA,一般是出了代码外的部分开始的RVA
  • SizeOfImage
    装入文件从基址到最后一个块的大小,向上取整,一般工具也会自动修正

C. 明日计划
脱壳技术(8)

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
脱壳练习(2)-最新免费版梆梆加固脱壳笔记-附件资源
03-05
脱壳练习(2)-最新免费版梆梆加固脱壳笔记-附件资源
壳的机制以及脱壳技术
weixin_41487541的博客
04-12 2070
0 壳的概念 壳是用来保护计算机软件不被非法修改或编译的程序; 其附加在原始程序上,通过Windows加载器载入内存后,先于原始程序执行以得到程序控制权,在执行过程中对原始程序进行解密、还原还原后把控制权还给原始程序,执行原来的代码; 由于壳能保护自身代码,许多木马和病毒都喜欢用壳来保护及隐藏自身; 对于一些流行的壳,杀毒引擎能先对目标软件进行脱壳,再进行病毒检查。对大多数私人壳,杀毒软件不会专门开发解压引擎,而是直接把壳当成木马或病毒来处理; 处于不同的目的,壳可以分为压缩壳(减小软件的体积)
脱壳的几种方法 详细操作步骤
zplove003的专栏
07-20 5641
脱壳的几种方法  详细操作步骤 常见脱壳知识: 1.PUSHAD (压栈) 代表程序的入口点 2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。    方法一:单步跟踪 1.用OD载入,不分析代码!
手动脱壳教程
weixin_44032972的博客
05-21 1万+
一、什么是壳?         壳是指在一个程序的外面再包裹上另一段代码,保护里面的代码不被非法修改或反编译的的程序。它们一般先于程序运行,拿到控制权,然后完成它们保护软件的任务。 二、壳的加载过程 1、保存程序入口参数         加壳程序初始化时保存各个寄存器的值(用堆栈),外壳执行完毕后,再恢复各个寄存器的值,最后再跳到源程序执行。 2、获
逆向基础-脱壳
AppWhite_Star的博客
07-30 1869
逆向基础-脱壳
逆向分析脱壳技巧总结
10-30
逆向分析脱壳技巧总结,其中汇集了逆向分析所需要用的各种方法和技术总结,对于初学者有很好的学习帮助。
iOS 底层原理逆向脱壳实战-课件
09-09
"iOS 底层原理逆向脱壳实战-课件"是针对这一主题的专业学习资料,涵盖了多个关键知识点。 首先,让我们来探讨一下07-theos.pdf和07-theos.pptx,这两个文件可能涉及到Theos工具的使用。Theos是一个用于iOS平台的...
第31章-脱壳简介1
08-03
学习脱壳不仅可以增强逆向分析技能,还能帮助我们理解壳的运作机制,以便于开发更有效的反逆向技术或找到绕过壳的方法。然而,值得注意的是,每个壳都有其独特的实现方式,因此掌握一种壳的脱壳方法并不意味着可以...
脱壳实例-易语言
12-07
本文将详细探讨“脱壳实例-易语言”,包括易语言的编译方式以及如何处理脱壳技术。 易语言是一种中文编程语言,它的设计目标是使编程更加简单、直观,尤其适合初学者。易语言提供了两种编译方式:独立编译和非独立...
Java逆向破解技术探讨
08-24
脱壳技术是指去除程序的保护壳,以便更容易地进行分析和修改,Java程序通常采用加壳技术进行保护。反汇编是将机器指令转换为可读的汇编语言的过程,通过反汇编,我们可以了解程序的底层实现细节,包括指令集、寄存器...
脱壳简单了解
最新发布
akdelt的博客
01-25 1258
为了防止程序被非法修改或反编译,开发人员通常会在二程序中加入一段如同保护层的代码,使得原程序代码失去了原本的面目,这段如同保护层的代码和自然界的壳在功能上十分相近,因此把这样的程序称之为“壳”。壳一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。
Android SO 加壳(加密)与脱壳思路
热门推荐
jltxgcy的专栏
08-14 1万+
0x01 常见的Android SO加壳(加密)思路 1.1 破坏Elf Header 将Elf32_Ehdr 中的e_shoff, e_shnum, e_shstrndx, e_shentsize字段处理,变为无效值。由于在链接过程中,这些字段是无用的,所以可以随意修改,这会导致ida打不开这个so文件。 1.2 删除Section Header ...
逆向学习1-[脱壳技术]/篇1
m0_52343643的博客
04-21 2562
壳 壳是包裹在程序外的一层代码,通常先于程序执行,达到防止源程序不被非法修改或反编译的目的 壳的分类 壳分为压缩壳和加密壳 压缩壳 压缩壳主要是帮助减少PE文件(Windows下的文件格式)大小,隐藏PE文件内部的代码和资源 常见的压缩壳有:Upx、ASpack、PECompat 加密壳 加密壳应用有多种防止代码逆向分析的技术,用该壳的PE文件会比原文件大很多,有时恶意程序也用加密壳来降低杀毒软件的扫描 常见的加密壳有:ASProtector、Armadillo、EXECryptor、T.
脱壳方法总结
宗泽的博客
06-09 9380
一、单步跟踪法   脱壳的方法有很多,先来讲脱壳方法中最基础的单步跟踪法。单步跟踪法就是利用OD的单条指令执行功能,从壳的入口一直执行到OEP,最终通过这个OEP将原程序dump出来。然当,在单步跟踪的时候需要跳过一些不能执行到的指令。   使用单步跟踪法追踪OEP的常见步骤:   1、用OD载入待脱壳文件,如果出现压缩提示,选择“不分析代码”;   2、向下单步跟踪,实现向下的跳转;   3、遇...
破解入门(三)-----脱壳的常用方法
系统运维
06-09 1430
什么是壳 大家应该先明白“壳”的概念。在自然界中,我想大家对"壳"这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(当然后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在...
脱壳简单总结
weixin_45880501的博客
07-06 3205
title: 脱壳 date: 2021-07-05 14:37:06 tags: RE 脱壳 1.概述: 1.壳: 一:加壳的目的:为了隐藏程序真正的OEP(入口点),防止被破解。 二:加壳软件是一种在编译好可执行文件之后,为了一些特定的需求,而做的一些事情,常见需求有: ​ 有一些版权信息需要保护起来,不想让别人随便改动 ​ 为了让程序小一点,从而方便使用(把可执行文件进行压缩使用) ​ 给木马等软件加壳以避免杀毒软件 三:壳的加载过程: ​ 一般壳的装载过程: ​ (1)获取壳所需要使用的.
脱壳的基本步骤
行走在黑暗中的狙击者
09-01 2688
脱壳的基本步骤 1.查壳(ExeinfoPe(推荐)、PEID)---> 2.寻找OEP(OD)--->(寻找过程中如出现代码异常需要先右击分析-->从模块中删除分析) 3.脱壳--->用OD自带的Ollydump直接脱壳,但因此功能比较老bug较多,脱完可能会出现软件无法打开、内存无法读取,无法定位dll等错误,所以一律推荐在XP下运行OD查找到OEP后,使用Lo...
脱壳练习(2)-最新免费版梆梆加固脱壳笔记
葱花炒蛋的博客
04-01 1万+
直接开始吧,末尾有附件。1.    java层分析常规操作添加了一个application的入口,并加载了壳so libSecShell.so.当dex加载完后通过这两个函数进行真正的application替换。大概看一下其他文件。DexInstall大概是根据不同的sdk,进行dex的加载;Dex的一般加载流程为:Java层:替换classLoader –> 初始化DexPathList ...
脱壳
Jogging Snail的博客
11-24 894
当自己有了想法,却苦于实现的时候,才知道自己的水平。大四之前,一直自以为很聪明,在遇到问题时,往往没有沉淀下来。今天的自己,告诉了老师想去某某某,后面却又加了句话,还得努力一年,当越来越了解自己的时候,也越来越讨厌现在的自己,这时便该脱壳了。以前的自己往往遇事喜欢拖,直到deadline,又会逼着自己加强强度。这段时间一直在找实习,投了一份份简历,却都石沉大海,了无生息,这时才明白,除了之前的自以
REA逆向工程电子书:脱壳教程与论文集
2. 脱壳技术:讲解如何分析程序的入口点,识别加壳机制,以及如何逐步剥离保护层。 3. 加密与解密:讨论加密算法,如 XOR、RSA、AES 等,以及如何解密被保护的代码。 4. 反调试技术:介绍如何绕过反调试技巧,如检测...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值