亲爱的朋友们,很多人可能对什么是壳软件怎样加壳怎样脱壳和软件如何脱壳不是很了解,所以今天我来和大家分享一些关于什么是壳软件怎样加壳怎样脱壳和软件如何脱壳的知识,希望能够帮助大家更好地了解这个话题。
本文目录一览
什么是壳(软件),怎样加壳,怎样脱壳
壳,脱壳,加壳在自然界中,我想大家对壳这东西应该都不会陌生了,由上述故事,我们也可见一斑
自然界中植物用它来保护种子,动物用它来保护身体等等
同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序
它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务
就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)
由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”了
就像计算机病毒和自然界的病毒一样,其实都是命名上的方法罢了
从功能上抽象,软件的壳和自然界中的壳相差无几
无非是保护、隐蔽壳内的东西
而从技术的角度出发,壳是一段执行于原始程序前的代码
原始程序的代码在加壳的过程中可能被压缩、加密
当加壳后的文件执行时,壳-这段代码先于原始程序运行,他把压缩、加密后的代码还原成原始程序代码,然后再把执行权交还给原始代码
软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类,目的都是为了隐藏程序真正的OEP(入口点,防止被破解)
关于“壳”以及相关软件的发展历史请参阅吴先生的《一切从“壳”开始》
(一)
壳的概念作者编好软件后,编译成exe可执行文件
1
有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等,即为了保护软件不被破解,通常都是采用加壳来进行保护
2
需要把程序搞的小一点,从而方便使用
于是,需要用到一些软件,它们能将exe可执行文件压缩, 3
在黑客界给木马等软件加壳脱壳以躲避杀毒软件
实现上述功能,这些软件称为加壳软件
(二)
加壳软件最常见的加壳软件ASPACK ,UPX,PEcompact 不常用的加壳软件WWPACK32;PE-PACK ;PETITE ;NEOLITE(三)
侦测壳和软件所用编写语言的软件,因为脱壳之前要查他的壳的类型
1
侦测壳的软件fileinfo
exe 简称fi
exe(侦测壳的能力极强) 2
侦测壳和软件所用编写语言的软件language
exe(两个功能合为一体,很棒) 推荐中文版(专门检测加壳类型) 3
软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC)(四)脱壳软件
软件加壳是作者写完软件后,为了保护自己的代码或维护软件产权等利益所常用到的手段
目前有很多加壳工具,当然有盾,自然就有矛,只要我们收集全常用脱壳工具,那就不怕他加壳了
软件脱壳有手动脱壳和自动脱壳之分,下面我们先介绍自动脱壳,因为手动脱壳需要运用汇编语言,要跟踪断点等,不适合初学者,但我们在后边将稍作介绍
加壳一般属于软件加密,现在越来越多的软件经过压缩处理,给汉化带来许多不便,软件汉化爱好者也不得不学习掌握这种技能
现在脱壳一般分手动和自动两种,手动就是用TRW2000、TR、SOFTICE等调试工具对付,对脱壳者有一定水平要求,涉及到很多汇编语言和软件调试方面的知识
而自动就是用专门的脱壳工具来脱,最常用某种压缩软件都有他人写的反压缩工具对应,有些压缩工具自身能解压,如UPX;有些不提供这功能,如:ASPACK,就需要UNASPACK对付,好处是简单,缺点是版本更新了就没用了
另外脱壳就是用专门的脱壳工具来对付,最流行的是PROCDUMP v1
62 ,可对付目前各种压缩软件的压缩档
在这里介绍的是一些通用的方法和工具,希望对大家有帮助
我们知道文件的加密方式,就可以使用不同的工具、不同的方法进行脱壳
下面是我们常常会碰到的加壳方式及简单的脱壳措施,供大家参考: 脱壳的基本原则就是单步跟踪,只能往前,不能往后
脱壳的一般流程是:查壳->寻找OEP->Dump->修复 找OEP的一般思路如下: 先看壳是加密壳还是压缩壳,压缩壳相对来说容易些,一般是没有异常,找到对应的popad后就能到入口,跳到入口的方式一般为
我们知道文件被一些压缩加壳软件加密,下一步我们就要分析加密软件的名称、版本
因为不同软件甚至不同版本加的壳,脱壳处理的方法都不相同
常用脱壳工具: 1、文件分析工具(侦测壳的类型):Fi,GetTyp,peid,pe-scan, 2、OEP入口查找工具:SoftICE,TRW,ollydbg,loader,peid 3、mp工具:IceDump,TRW,PEditor,ProcDump32,LordPE 4、PE文件编辑工具:PEditor,ProcDump32,LordPE 5、重建Import Table工具:ImportREC,ReVirgin 6、ASProtect脱壳专用工具:Caspr(ASPr V1
1-V1
2有效),Rad(只对ASPr V1
1有效),loader,peid(1)Aspack: 用的最多,但只要用UNASPACK或PEDUMP32脱壳就行了 (2)ASProtectaspack: 次之,国外的软件多用它加壳,脱壳时需要用到SOFTICEICEDUMP,需要一定的专业知识,但最新版现在暂时没有办法
(3)Upx: 可以用UPX本身来脱壳,但要注意版本是否一致,用-D 参数 (4)Armadill: 可以用SOFTICEICEDUMP脱壳,比较烦 (5)Dbpe: 国内比较好的加密软件,新版本暂时不能脱,但可以破解 (6)NeoLite: 可以用自己来脱壳 (7)Pcguard: 可以用SOFTICEICEDUMPFROGICE来脱壳 (8)Pecompat: 用SOFTICE配合PEDUMP32来脱壳,但不要专业知识 (9)Petite: 有一部分的老版本可以用PEDUMP32直接脱壳,新版本脱壳时需要用到SOFTICEICEDUMP,需要一定的专业知识 (10)WWpack32: 和PECOMPACT一样其实有一部分的老版本可以用PEDUMP32直接脱壳,不过有时候资源无法修改,也就无法汉化,所以最好还是用SOFTICE配合 PEDUMP32脱壳 我们通常都会使用Procmp32这个通用脱壳软件,它是一个强大的脱壳软件,他可以解开绝大部分的加密外壳,还有脚本功能可以使用脚本轻松解开特定外壳的加密文件
另外很多时候我们要用到exe可执行文件编辑软件ultraedit
我们可以下载它的汉化注册版本,它的注册机可从网上搜到
ultraedit打开一个中文软件,若加壳,许多汉字不能被认出 ultraedit打开一个中文软件,若未加壳或已经脱壳,许多汉字能被认出 ultraedit可用来检验壳是否脱掉,以后它的用处还很多,请熟练掌握例如,可用它的替换功能替换作者的姓名为你的姓名注意字节必须相等,两个汉字替两个,三个替三个,不足处在ultraedit编辑器左边用00补
软件如何脱壳
步骤1检测壳
壳的概念:
所谓“壳”就是专门压缩的工具。
这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。
壳的作用:
1.保护程序不被非法修改和反编译。
2.对程序专门进行压缩,以减小文件大小,方便传播和储存。
壳和压缩软件的压缩的区别是
压缩软件只能够压缩程序
而经过壳压缩后的exe、com和dll等程序文件可以跟正常的程序一样运行
下面来介绍一个检测壳的软件
PEIDv0.92
这个软件可以检测出450种壳
新版中增加病毒扫描功能,是目前各类查壳工具中,性能最强的。
另外还可识别出EXE文件是用什么语言编写的VC、Delphi、VB或Delphi等。
支持文件夹批量扫描
我们用PEID对easymail.exe进行扫描
找到壳的类型了
UPX0.89.6-1.02/1.05-1.24->Markus&Laszlo
说明是UPX的壳
下面进行
步骤2脱壳
对一个加了壳的程序,去除其中无关的干扰信息和保护限制,把他的壳脱去,解除伪装,还原软件本来的面目。这个过程就叫做脱壳。
脱壳成功的标志
脱壳后的文件正常运行,功能没有损耗。
还有一般脱壳后的文件长度都会大于原文件的长度。
即使同一个文件,采用不同的脱壳软件进行脱壳,由于脱壳软件的机理不通,脱出来的文件大小也不尽相同。
关于脱壳有手动脱壳和自动脱壳
自动脱壳就是用专门的脱壳机脱很简单按几下就OK了
手动脱壳相对自动脱壳需要的技术含量微高这里不多说了
UPX是一种很老而且强大的壳不过它的脱壳机随处就能找到
UPX本身程序就可以通过
UPX文件名-d
来解压缩不过这些需要的命令符中输入
优点方便快捷缺点DOS界面
为了让大家省去麻烦的操作就产生了一种叫UPXSHELL的外壳软件
UPXSHELLv3.09
UPX外壳程序!
目的让UPX的脱壳加壳傻瓜化
注:如果程序没有加壳那么我们就可以省去第二步的脱壳了,直接对软件进行分析了。
脱完后我们进行
步骤3
运行程序
尝试注册
获取注册相关信息
通过尝试注册我们发现一个关键的字符串
“序列号输入错误”
步骤4
反汇编
反汇编一般用到的软件都是W32Da
W32da 对于新手易于上手操作简单
W32Da 有很多版本这里我推荐使用W32Da 无极版
我们现在反汇编WebEasyMail的程序文件easymail.exe
然后看看能不能找到刚才的字符串
步骤5
通过eXeScope这个软件来查看未能在w32da 中正确显示的字符串信息
eXeScopev6.50
更改字体,更改菜单,更改对话框的排列,重写可执行文件的资源,包括(EXE,DLL,OCX)等。是方便强大的汉化工具,可以直接修改用VC及DELPHI编制的程序的资源,包括菜单、对话框、字符串表等
新版可以直接查看加壳文件的资源
我们打开eXeScope
找到如下字串符
122,"序列号输入错误"
123,"恭喜您成为WebEasyMail正式用户中的一员!"
124,注册成功
125,失败
重点是122
步骤6
再次返回w32da
*PossibleReferencetoStringResourceID=00122:"?_e?"
但是双击后
提示说找不到这个字串符
不是没有是因为"?_e?"是乱码w32da 对于中文显示不是太好
毕竟不是国产软件
先把今天会用到的汇编基本指令跟大家解释一下
mova,b;把b的值赋给a,使a=b
call:调用子程序,子程序以ret结为
ret:返回主程序
je或jz:若相等则跳转
jne或jnz:若不相等则跳转
pushxx:xx压栈
popxx:xx出栈
栈,就是那些由编译器在需要的时候分配,在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等。
我们搜索
PossibleReferencetoStringResourceID=00122
因为对E文支持很好
我们来到了
*Referencedbya(U)or(C)onditionalJumpatAddress:
|:00406F17(C)//跳转来自406F17
|
*PossibleReferencetoStringResourceID=00125:"1%"
|
004070DD6A7Dpush0000007D
004070DF8D4C2410leaecx,dwordptr[esp10]
004070E3E8F75A1200call0052CBDF
*PossibleReferencetoStringResourceID=00122:"?_e?"
|
004070E86A7Apush0000007A
004070EA8D4C2408leaecx,dwordptr[esp08]
004070EEE8EC5A1200call0052CBDF
我们来到
00406F01moveax,dwordptr[edi0000086C]这里是对
00406F078B4C2408movecx,dwordptr[esp08]
00406F0B50pusheax//这两个eax和ecx入栈就比较让我们怀疑了
00406F0C51pushecx//产生注册码
00406F0DE8AE381100call0051A7C0//这CALL里对注册位应该会有设置
00406F1283C40Caddesp,0000000C
00406F1585C0testeax,eax//检测注册位
00406F17jne004070DD//不存在注册位就会跳到4070DD就会出现那个错误的字串符了
我们记住406F01这个地址
接着进行下一步
步骤7
这一步我们进行的是调试
用到的软件是ollydbg
好了我们找到了注册码0012AF0400FD4A10ASCII""
但是这个并不是我们的主要目的
我们还要做出属于自己的注册机
相信这个是很多人梦寐以求的事情
步骤8
制作注册机
注册机我们需要的是一个KEYMAKE的软件
因为2.0是演示版而且停止更新了
所以我们用1.73版
做一个内存注册机需要下面几个资料
中断地址:406F0C
中断次数:1
第一字节:51
指令长度:1
好了一个完美的注册机就产生了
还不赶快发给你的朋友炫耀一下
保证让他迷糊死佩服得你要死
其实最后还有几个步骤
就是撰写破文
不过大家都是新手这个步骤就去了吧
不知不觉说了这么多废话希望能对大家有些作用
如果本文的解答对您有所帮助,请在文章结尾处点击“顶一下”以表示您的支持。如果您对本文不满意,也请点击“踩一下”,以便我们改进该篇文章。