这篇博客介绍了PE文件的两种主要壳类型——压缩壳和加密壳,以及它们的常见工具如UPX和Armadillo。同时,讨论了反汇编工具OD(OllyDebug)在找寻OEP(Original Entry Point)过程中的作用,强调了OEP在手动脱壳中的重要性。此外,还列举了不同编程语言的入口点特征和一些基本的汇编指令。
1.壳的分类
壳出于程序作者想对程序资源压缩、保护的目的,壳一般分为压缩壳 和加密壳 两类。
压缩壳
使用压缩壳可以帮助缩减 PE 文件的大小,隐藏了 PE 文件内部代码和资源,便于网络传输和保存。
压缩壳用途:
- 单纯用于压缩普通 PE 文件的压缩壳
- 对源文件进行较大变形,严重破坏 PE 文件头,经常用于压缩恶意程序。
常见的压缩壳
UPX
ASpack
PECompat
加密壳
功能:保护 PE 免受代码逆向分析
用途: - 对安全性要求高,对破解敏感的应用程序
- 恶意程序用于避免(降低)杀毒软件的检测查杀
常见的加密壳:
ASProtector
Armadillo
EXECryptor
Themida
VMProtect
ps:随着加壳技术的发展,压缩壳和加密壳的界限越来越模糊,出现了既能压缩又能保护程序的壳。
2.OD
反汇编工具OD=OllyDebug,OllyDbg 是一种具有可视化界面的 32 位汇编-分析调试器。它的特别之处在于可以在没有源代码时解决问题,并且可以处理其它编译器无法解决的难题。
3.OEP
OEP:(Original Entry Point),程序的入口点。软件加壳一般隐藏了程序真实的OEP(或者用了假的OEP), 我们需要寻找程序真正的OEP,才可以
最低0.47元/天 解锁文章
1418
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
