软件加壳、脱壳基础介绍
什么是加壳
加壳的全称应该是可执⾏程序资源压缩,压缩后的程序可以直接运⾏。加壳,顾名思义,就是给⼀个东西加上⼀个壳,只不过这⾥是程序。就好⽐这⼤⾃然中的种⼦⼀样,为了保护⾃⼰,有⼀层壳,要想看到⾥⾯的东西,就要剥开这层壳。
加壳的另⼀种常⽤的⽅式是在⼆进制的程序中植⼊⼀段代码,在运⾏的时候优先取得程序的控制权,之后再把控制权交还给原始代码,这样做的⽬的是隐藏程序真正的OEP(⼊⼝点,防⽌被破解)。⼤多数病毒就是基于此原理。
加壳的程序需要阻⽌外部程序或软件对加壳程序本⾝的反汇编分析或者动态分析,以达到保护壳内原始程序以及软件不被外部程序破坏,保证原始程序正常运⾏。这种技术也常⽤来保护软件版权,防⽌软件被破解。但对于病毒,加壳可以绕过⼀些杀毒软件的扫描,从⽽实现它作为病毒的⼀些⼊侵或破坏的⼀些特性。
加壳的⼯具分为压缩壳和加密壳:
* UPX ASPCAK TELOCK PELITE NSPACK … *
* ARMADILLO ASPROTECT ACPROTECT EPE SVKP …*
什么是脱壳
 脱壳就是将外⾯的保护程序脱掉,看到⾥⾯的程序。对于有壳的程序,每次程序的⼊⼝点总是从壳开始,,这个⼊⼝点是EP,那么源程序的⼊⼝点是OEP,壳将真正的OEP隐藏了,我们脱壳就是修改程序的⼊⼝点。
如何脱壳
 如果没有基础的汇编知识,那就查出相应的壳,⽤相应的脱壳机进⾏脱壳,那如果,脱壳机⽆法脱呢?⼿动脱壳!
基础知识
1.PUSHAD (压栈)代表程序的⼊⼝点,
2.POPAD (出栈)代表程序的出⼝点,与PUSHAD想对应,⼀般到这个OEP就在附近
3.OEP:程序的⼊⼝点,软件加壳就是隐藏了OEP(或者⽤了假的OEP/FOEP),只要我们到程序真正的OEP,就可以⽴刻脱壳。
脱壳的⽅法清单
⽅法⼀:单步跟踪法
1.⽤OD载⼊,点“不分析代码!”
2.单步向下跟踪F8,实现向下的跳。也就是说向上的跳不让其实现!(通过F4)
3.遇到程序往回跳的(包括循环),我们在下⼀句代码处按F4(或者右健单击代码,选择断点——>运⾏到所选)
4.绿⾊线条表⽰跳转没实现,不⽤理会,红⾊线条表⽰跳转已经实现!
5.如果刚载⼊程序,在附近就有⼀个CALL的,我们就F7跟进去,不然程序很容易跑飞,这样很快就能到程序的OEP
6.在跟踪的时候,如果运⾏到某个CALL程序就运⾏的,就在这个CALL中F7进⼊
7.⼀般有很⼤的跳转(⼤跨段),⽐如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的⼀般很快就会到程序的OEP。
 PS:在有些壳⽆法向下跟踪的时候,我们可以在附近到没有实现的⼤跳转,右键–>“跟随”,然后F2下断,Shift+F9运⾏停
在“跟随”的位置,再取消断点,继续F8单步跟踪。⼀般情况下可以轻松到达OEP!
⽅法⼆:ESP定律法汇编语言要什么基础
 ESP定理脱壳(ESP在OD的寄存器中,我们只要在命令⾏下ESP的硬件访问断点,就会⼀下来到程序的OEP了!)
1.开始就点F8,注意观察OD右上⾓的寄存器中ESP有没突现(变成红⾊)。
(这只是⼀般情况下,更确切的说我们选择的ESP值是关键句之后的第⼀个ESP值)
2.在命令⾏下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX),按回车!
3.选中下断的地址,断点—>硬件访—>WORD断点。
4.按⼀下F9运⾏程序,直接来到了跳转处,按下F8,到达程序OEP。
⽅法三:内存镜像法
1:⽤OD打开软件!
2:点击选项——调试选项——异常,把⾥⾯的忽略全部√上!CTRL+F2重载下程序!
3:按ALT+M,打开内存镜象,到程序的第⼀个.rsrc.按F2下断点,然后按SHIFT+F9运⾏到断点,接着再按ALT+M,打开内存镜象,到程序的第⼀个.rsrc.上⾯的.CODE(也就是00401000处),按F2下断点!然后按SHIFT+F9(或者是在没异常情况下按F9),直接到达程序OEP!
⽅法四:⼀步到达OEP
1.开始按Ctrl+F,输⼊:popad(只适合少数壳,包括UPX,ASPACK壳),然后按下F2,F9运⾏到此处
2.来到⼤跳转处,点下F8,到达OEP!
⽅法五:最后⼀次异常法
1:⽤OD打开软件
2:点击选项——调试选项——异常,把⾥⾯的√全部去掉!CTRL+F2重载下程序
3:⼀开始程序就是⼀个跳转,在这⾥我们按SHIFT+F9,直到程序运⾏,记下从开始按SHIFT+F9到程序运⾏的次数m!
4:CTRL+F2重载程序,按SHIFT+F9(这次按的次数为程序运⾏的次数m-1次)
5:在OD的右下⾓我们看见有⼀个”SE 句柄”,这时我们按CTRL+G,输⼊SE 句柄前的地址!
6:按F2下断点!然后按SHIFT+F9来到断点处!
7:去掉断点,按F8慢慢向下⾛!
8:到达程序的OEP!
⽅法六:模拟跟踪法
1:先试运⾏,跟踪⼀下程序,看有没有SEH暗桩之类
2:ALT+M打开内存镜像,到(包含=SFX,imports,relocations)
内存镜像,项⽬ 30
地址=0054B000
⼤⼩=00002000 (8192.)
Owner=check 00400000
区段=.aspack
包含=SFX,imports,relocations
类型=Imag 01001002
访问=R
初始访问=RWE
3:地址为0054B000,如是我们在命令⾏输⼊tc eip<0054B000,回车,正在跟踪ing。。
PS:⼤家在使⽤这个⽅法的时候,要理解他是要在怎么样的情况下才可以使⽤
⽅法七:“SFX”法
1:设置OD,忽略所有异常,也就是说异常选项卡⾥⾯都打上勾
2:切换到SFX选项卡,选择“字节模式跟踪实际⼊⼝(速度⾮常慢)”,确定。
3:重载程序(如果跳出是否“压缩代码?”选择“否”,OD直接到达OEP)
ps:这种⽅法不要滥⽤得好,锻炼能⼒为妙。
 这⾥最常⽤的ESP定律法(堆栈平衡原理),为什么说是ESP呢,当所有的寄存器都压⼊栈时(pushad),esp地址的是指向栈顶的地址的,当壳将执⾏权交给源程序时,esp地址要回到pushad之前的状态,这时就可以看到esp变化了,这就是源程序的⼊⼝点。(汇编,汇编,汇编!)
什么是加壳和脱壳技术?加壳和脱壳技术是什么意思?
什么是加壳和脱壳技术?加壳和脱壳技术是什么意思?
加壳,是⼀种通过⼀系列数学运算,将可执⾏程序⽂件或动态链接库⽂件的编码进⾏改变(⽬前还有⼀些加壳软件可以压缩、加密驱动程序),以达到缩⼩⽂件体积或加密程序编码的⽬的。加壳⼀般是指保护程序资源的⽅法。
脱壳⼀般是指除掉程序的保护,⽤来修改程序资源。马甲”能穿也能脱。相应的,有加壳也⼀定会有解壳(也叫脱壳)。脱壳主要有两种⽅法:硬脱壳和动态脱壳。
第⼀种,是硬脱壳,这是指出加壳软件的加壳算法,写出逆向算法,就像压缩和解压缩⼀样。由于,⽬前很多“壳”均带有加密、变形的特点,每次加壳⽣成的代码都不⼀样。硬脱壳对此⽆能为⼒,但由于其技术门槛较低,仍然被⼀些杀毒软件所使⽤。
第⼆种,是动态脱壳。由于加壳的程序运⾏时必须还原成原始形态,即加壳程序会在运⾏时⾃⾏脱掉“马甲”。⽬前,有⼀种脱壳⽅式是抓取(Dump)内存中的镜像,再重构成标准的执⾏⽂件。相⽐硬脱壳⽅法,这种脱壳⽅法对⾃⾏加密、变形的壳处理效果更好。
壳的概念
在⼀些计算机软件⾥有⼀段专门负责保护软件不被⾮法修改或反编译的程序。它们⼀般都是先于程序运⾏,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳⼀般都是在⾝体外⾯⼀样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和⾃然界的壳在功能上有很多相同的地⽅,基于命名的规则,⼤家就把这样的程序称为“壳”了。就像计算机病毒和⾃然界的病毒⼀样,其实都是命名上的⽅法罢了。从功能上抽象,软件的壳和⾃然界中的壳相差⽆⼏。⽆⾮是保护、隐蔽壳内的东西。⽽从技术的⾓度出发,壳是⼀段执⾏于原始程序前的代码。原始程序的代码在加壳的过程中可能被压缩、加密……。当加壳后的⽂件执⾏时,壳-这段代码先于原始程序运⾏,他把压缩、加密后的代码还原成原始程序代码,然后再把
执⾏权交还给原始代码。软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类,⽬的都是为了隐藏程序真正的OEP(⼊⼝点,防⽌被破解)。关于“壳”以及相关软件的发展历史请参阅吴先⽣的《⼀切从“壳”开始》。
作者编好软件后,编译成exe可执⾏⽂件。 1.有⼀些版权信息需要保护起来,不想让别⼈随便改动,如作者的姓名,即为了保护软件不被破解,通常都是采⽤加壳来进⾏保护。 2.需要把程序搞的⼩⼀点,从⽽⽅便使⽤。于是,需要⽤到⼀些软件,它们能将exe可执⾏⽂件压缩, 3.在⿊客界给⽊马等软件加壳脱壳以躲避杀毒软件。实现上述功能,这些软件称为加壳软件。
(⼆)加壳软件最常见的加壳软件ASPACK ,UPX,PEcompact 不常⽤的加壳软件WWPACK32;PE-PACK ;PETITE NEOLITE
(三)侦测壳和软件所⽤编写语⾔的软件,因为脱壳之前要查他的壳的类型。 1.侦测壳的软件 简称fi.exe(侦测壳的能⼒极强) 2.侦测壳和软件所⽤编写语⾔的软件(两个功能合为⼀体,很棒)推荐language2000中⽂版(专门检测加壳类型) 3.软件常⽤编写语⾔Delphi,VisualBasic(VB)---最难破,VisualC(VC)
(四)脱壳软件。软件加壳是作者写完软件后,为了保护⾃⼰的代码或维护软件产权等利益所常⽤到的⼿段。⽬前有很多加壳⼯具,当然有盾,⾃然就有⽭,只要我们收集全常⽤脱壳⼯具,那就不怕他
加壳了。软件脱壳有⼿动脱和⾃动脱壳之分,下⾯我们先介绍⾃动脱壳,因为⼿动脱壳需要运⽤汇编语⾔,要跟踪断点等,不适合初学者,但我们在后边将稍作介绍。
加壳⼀般属于软件加密,现在越来越多的软件经过压缩处理,给带来许多不便,软件爱好者也不得不学习掌握这种技能。现在脱壳⼀般分⼿动和⾃动两种,⼿动就是⽤TRW2000、TR、SOFTICE等调试⼯具对付,对脱壳者有⼀定⽔平要求,涉及到很多汇编语⾔和软件调试⽅⾯的知识。⽽⾃动就是⽤专门的脱壳⼯具来脱,最常⽤某种压缩软件都有他⼈写的反压缩⼯具对应,有些压缩⼯具⾃⾝能解压,如UPX;有些不提供这功能,如:ASPACK,就需要UNASPACK对付,好处是简单,缺点是版本更新了就没⽤了。另外脱壳就是⽤专门的脱壳⼯具来对付,最流⾏的是PROCDUMP v1.62 ,可对付⽬前各种压缩软件的压缩档。在这⾥介绍的是⼀些通⽤的⽅法和⼯具,希望对⼤家有帮助。我们知道⽂件的加密⽅式,就可以使⽤不同的⼯具、不同的⽅法进⾏脱壳。下⾯是我们常常会碰到的加壳⽅式及简单的脱壳措施,供⼤家参考:脱壳的基本原则就是单步跟踪,只能往前,不能往后。脱壳的⼀般流程是:查壳->寻OEP->Dump->修复OEP的⼀般思路如下:先看壳是加密壳还是压缩壳,压缩壳相对来说容易些,⼀般是没有异常,到对应的popad后就能到⼊⼝,跳到⼊⼝的⽅式⼀般为。我们知道⽂件被⼀些压缩加壳软件加密,下⼀步我们就要分析加密软件的名称、版本。因为不同软件甚⾄不同版本加的壳,脱壳处理的⽅法都不相同。
常⽤脱壳⼯具:
1、⽂件分析⼯具(侦测壳的类型):Fi,GetTyp,peid,pe-scan,
2、OEP⼊⼝查⼯具:SoftICE,TRW,ollydbg,loader,peid
3、dump⼯具:IceDump,TRW,PEditor,ProcDump32,LordPE
4、PE⽂件编辑⼯具PEditor,ProcDump32,LordPE
5、重建Import Table⼯具:ImportREC,ReVirgin
6、ASProtect脱壳专⽤⼯具:Caspr(ASPr V1.1-V1.2有效),Rad(只对ASPr V1.1有效),loader,peid
(1)Aspack:⽤的最多,但只要⽤UNASPACK或PEDUMP32脱壳就⾏了
(2)ASProtect+aspack:次之,国外的软件多⽤它加壳,脱壳时需要⽤到SOFTICE+ICEDUMP,需要⼀定的专业知识,但最新版现在暂时没有办法。
(3)Upx:可以⽤UPX本⾝来脱壳,但要注意版本是否⼀致,⽤-D 参数
(4)Armadill:可以⽤SOFTICE+ICEDUMP脱壳,⽐较烦
(5)Dbpe:国内⽐较好的加密软件,新版本暂时不能脱,但可以破解
(6)NeoLite:可以⽤⾃⼰来脱壳
(7)Pcguard:可以⽤SOFTICE+ICEDUMP+FROGICE来脱壳
(8)Pecompat:⽤SOFTICE配合PEDUMP32来脱壳,但不要专业知识
(9)Petite:有⼀部分的⽼版本可以⽤PEDUMP32直接脱壳,新版本脱壳时需要⽤到SOFTICE+ICEDUMP,需要⼀定的专业知识
(10)WWpack32:和PECOMPACT⼀样其实有⼀部分的⽼版本可以⽤PEDUMP32直接脱壳,不过有时候资源⽆法修改,也就⽆法,所以最好还是⽤SOFTICE配合 PEDUMP32脱壳
我们通常都会使⽤Procdump32这个通⽤脱壳软件,它是⼀个强⼤的脱壳软件,他可以解开绝⼤部分的加密外壳,还有脚本功能可以使⽤脚本轻松解开特定外壳的加密⽂件。另外很多时候我们要⽤到exe可执⾏⽂件编辑软件ultraedit。我们可以下载它的注册版本,它的注册机可从⽹上搜到。ultraedit打开⼀个中⽂软件,若加壳,许多汉字不能被认出 ultraedit打开⼀个中⽂软件,若未加壳或已经脱壳,许多汉字能被认出 ultraedit可⽤来检验壳是否脱掉,以后它的⽤处还很多,请熟练掌握例如,可⽤它的替换功能替换作者的姓名为你的姓名注意字节必须相等,两个汉字替两个,三个替三个,不⾜处在u
ltraedit编辑器左边⽤00补。
常见的壳脱法:
(⼀)aspack壳脱壳可⽤unaspack或caspr 1.unaspack ,使⽤⽅法类似lanuage,傻⽠式软件,运⾏后选取待脱壳的软件即可. 缺点:只能脱aspack早些时候版本的壳,不能脱⾼版本的壳 2.caspr第⼀种:待脱壳的软件(如aa.exe)和位于同⼀⽬录下,执⾏windows起始菜单的运⾏,键⼊ 脱壳后的⽂件为aa.ex_,删掉原来的aa.exe,将aa.ex_改名为aa.exe即可。使⽤⽅法类似fi 优点:可以脱aspack任何版本的壳,脱壳能⼒极强缺点:Dos界⾯。第⼆种:将aa.exe的图标拖到的图标上***若已侦测出是aspack壳,⽤unaspack脱壳出错,说明是aspack⾼版本的壳,⽤caspr脱即可。
(⼆)upx壳脱壳可⽤upx待脱壳的软件(如aa.exe)和位于同⼀⽬录下,执⾏windows起始菜单的运⾏,键⼊upx -。
(三)PEcompact壳脱壳⽤unpecompact 使⽤⽅法类似lanuage傻⽠式软件,运⾏后选取待脱壳的软件即可。
(四)procdump 万能脱壳但不精,⼀般不要⽤使⽤⽅法:运⾏后,先指定壳的名称,再选定欲脱壳软件,确定即可脱壳后的⽂件⼤于原⽂件由于脱壳软件很成熟,⼿动脱壳⼀般⽤不到。
虚拟机脱壳引擎(VUE)技术
对于病毒,如果让其运⾏,则⽤户计算机就会被病毒感染。因此,⼀种新的思路被提出,即给病毒构造⼀个仿真的环境,诱骗病毒⾃⼰脱掉“马甲”。并且“虚拟环境”和⽤户的计算机隔离,病毒在虚拟机的操作不会对⽤户计算机有任何的影响。
“虚拟机脱壳”技术已经成为近年来全球安全业界公认的、解决这⼀问题的最有效利器。但由于编写虚拟机系统需要解决虚拟CPU、虚拟周边硬件设备、虚拟驱动程序等多个⽅⾯的困难。
脱壳能⼒不强的杀毒软件,对付“加壳”后病毒就需要添加两条不同的特征记录。如果⿊客换⼀种加壳⼯具加壳,则对于这些杀毒软件来说⼜是⼀种新的病毒,必须添加新的特征记录才能够查杀。如果杀毒软件的脱壳能⼒较强,则可以先将病毒⽂件脱壳,再进⾏查杀,这样只需要⼀条记录就可以对这些病毒通杀,不仅减⼩杀毒软件对系统资源的占⽤,同时⼤⼤提升了其查杀病毒的能⼒。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。