逆向破解程序脱壳篇-压缩壳

最新推荐文章于 2024-07-24 11:11:41 发布
最新推荐文章于 2024-07-24 11:11:41 发布
阅读量8.1k 收藏 20
点赞数 3
分类专栏: web安全 网站安全 Python 网络渗透技术 编程语言 PHP 文章标签: 破解程序 木马程序 程序修复 内存镜像法 WEB漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wodafa/article/details/71519943
版权

文章来源i春秋

一、普及

What
所谓“壳”就是专门压缩的工具。 
   这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。


WHY  ① 对程序专门进行压缩,以减小文件大小,方便传播和储存。
② 我这是一个商业的程序,是用来赚钱的,怎么可以被别人破解呢,那我就是加密保护壳(Safengine、VMprotect、winlicense、Themida)保护程序不被非法修改和反编译。
③ 其他(病毒、木马加壳,Anti-AntiVirus)

DO?
脱壳
就是把保护壳去掉更好的调试和破解能清楚看到代码

OEP
程序的入口点如果我们找到OEP我们就能快速脱壳就类似于找到钥匙就能开门
壳就是一把锁OEP就是锁孔
IAT
IAT就是指针脱壳的话可能要修复指针如果没有指针就相当于人只有一个身体没有灵魂
壳可能会对指针进行处理修复输入表就是修复IAT
段首和段尾
段首,是上一段的结尾也是下一段的开头一段是以retn开始和retn结尾。我们经常听到在段首下断所以我们要找的就是retn下面第一个push ,段首是以push开始滴所以我们不会在retn那里下段而段尾我们是在retn处下断因为软件的子程序是以retn返回到某一地方所以返回的时候要在retn出下断。
防病毒软件攻击讲解:http://www.ichunqiu.com/course/58111?from=14
二、准备知识
ESP定律的原理就是“堆栈平衡”原理。
1、在命令行下断hresp-4(此时的ESP就是OD载入后当前显示的值)
2hrESP(关键标志下一行代码所指示的ESP(单步通过))
CALL
1.向堆栈中压入下一行程序的地址;
2.JMPcall的子程序地址处。

RETN
call对应的就是RETN了。对于RETN我们可以这样来理解:
1.将当前的ESP
最低0.47元/天 解锁文章
i春秋论坛
关注
专栏目录
逆向基础——软件手动脱壳技术入门
qq_47099828的博客
04-22 964
01一些概念 1.1 加的全称应该是可执行程序资源压缩,是保护文件的常用手段。加过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。 加是利用特殊的算,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后,先于原始程序...
逆向脱壳入门
壊壊的诱惑你的博客
05-21 919
两个入门级的脱壳的CTF题目,记录一下。 一、逆向脱壳入门题目 1.nSpack 先用IDA打开看看: 可以看到有,而且解析出来的函数很少,对脱壳后的文件如下: 可以看到多出了很多函数。 用ESP定律进行脱壳,OD打开软件后如图: 可以看到了pushad,压入所有寄存器入栈,F8到调用的函数下在右边的ES...
CTF之工具
最新发布
qq_73302475的博客
07-24 311
我们于Reverse中常见的一种,这里介绍两种方式的脱壳
buuoj Reverse
weixin_44687621的博客
09-27 287
使用ollydbg进行手动脱壳:一种通过一系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变,以达到保护程序资源的目的。 call命令:这个命令是访问子程序的一个汇编基本指令。 00401029.E8 DA240A00 call 004A3508 0040102E.5A pop edx 在执行了00401029以后,程序会将0040102E压入堆栈,然后JMP到004A3508地址处 对应的另一个命令RETN,该命令将ESP中1指向的地址出栈,JMP到这个地址。 两个指令配合完成一个调用子
逆向脱壳——基本知识
weixin_30297281的博客
06-03 788
基本知识 加程序 1、是什么? 加是可执行程序资源压缩,是保护文件的常用手段。加过的程序可以直接运行,但是不能查看源代码,要经过脱壳才可以查看源代码。 2、加的原理是什么?是怎么运作的? 加是利用特殊的算,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windo...
【RE新手题】BUU的Java逆向解密
WangLal的博客
07-05 219
RE新手Java逆向
自己写的简单脱壳工具
六桥风月IT随笔
04-10 2695
这大半年在测试移动客户端时遇到了不少,研究之余写了几个小工具(各有适用场景),都已经发到github上了,在此分享下。这几个工具都是内存搜索然后dump,虽然出来的dex不一定都能重打包,但是从分析java代码的角度来说基本够用了,请大牛们轻喷。 drizzleDumper 最开始是照着android-unpacker写的,后面两个都是调用改版的drizzleDumper实现的Dump,然
黑客逆向破解基础-1:、加脱壳分别是什么?加的解压原理介绍。
热门推荐
JankinChan的博客
04-27 1万+
一、的概念 的概念,在一些计算机软件里有一段专门负责保护软件不被非修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的一般都是在身体外面一样理所当然(但后来也出现了所谓的“中带籽”的)。由于这段程序和自然界的在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“”了。就像计算机病毒和自然界的病毒一样,其实都是命名上的方罢了...
脱壳工具UPX -EXE/Dll资源压缩工具-UPX-4.2.2
05-27
UPX是大家熟悉的EXE/Dll资源压缩工具,也称作可执行文件压缩工具、可执行文件加脱壳器,该程序的缺点是只能使用命令控制台运行。 .................. Free UPX简称FUPX,是专门针对UPX开发的图形窗口界面程序,...
upx脱壳机--用于upx类脱壳
02-05
"upx脱壳机"则是专门针对UPX压缩程序设计的一款工具,旨在帮助用户剥离UPX外,恢复原始的未压缩代码。 在Windows环境下,"upx脱壳机"作为一个简单的脱壳工具,提供了用户友好的图形用户界面(GUI),使得操作...
Safengine Protector 最新脱壳脚本
01-11
Safengine Protector 最新脱壳脚本
Safengine Protector脱壳脚本2021.txt
10-26
Safengine Protector脱壳脚本2021.txt
safengine
07-29
器是对文件或软件程序进行保护加密,防止被删除,破话,更改,多用与病毒与木马,也可用来保护个人软件,文档。
一键脱任何压缩
02-12
一键脱任何压缩,包括国内和国外的压缩,此工具脱壳后无需修复,即可正常使用
国外冷门免杀加程序Pepsi Packer v2
12-04
国外冷门免杀加程序Pepsi Packer v2 好用简单的免杀
逆向分析脱壳技巧总结
10-30
### 逆向分析脱壳技巧总结 #### 一、脱壳基础知识要点 在逆向工程领域,脱壳是一项重要的技能,尤其是针对那些被加保护的软件。了解基础概念是开始学习脱壳的第一步。 - **PUSHAD**: 这条指令通常用于保存程序...
逆向工程挑战:的反逆向技术与脱壳策略
,通常分为压缩和加密,其主要目的是保护程序不被轻易分析,以防止非复制、篡改或盗版。在商业软件中,这种保护机制是有益的,但在恶意软件中,则被用来隐藏其恶意行为,增加分析难度。随着技术的发展,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值