破解基础你到底有没有壳.docx
《破解基础你到底有没有壳.docx》由会员分享,可在线阅读,更多相关《破解基础你到底有没有壳.docx(12页珍藏版)》请在冰豆网上搜索。
破解基础你到底有没有壳
首先说明一下,这篇文章是转自
这个教程主要是讲判断程序是否加壳,所以老鸟飞过。
很多人一看到这里,就会说用PEID查壳就行了呀,其实不然。
现在 一些商用的软件为了加密来保护知识产权,已不满足于ASProtect、ACProtect等这些有名的强壳,这些壳虽加密强度高,对新手来说遥不可及,但因为很多人研究,已经很容易手动脱壳。
所以这些商家就想到了自行加壳(这在看雪的加密与解密中有提到)和修改程序入口的特征(搞黑客,做木马免杀的都知道),这样查壳工具就会显示无壳,但其实还是加了壳的,有时还不止一层壳。
那怎么准确的判断是否加壳呢?
这就是今天的主要内容。
首先按照常规给软件查壳
2010-7-1715:
05上传
下载附件(41.37KB)
看上去没有壳,那我们再深入看看,点击PEID右下角的扩展信息试试
2010-7-1715:
05上传
下载附件(42.7KB)
判断1:
你有没有压缩呀?
虽然壳有压缩壳和加密壳,但现在大多数的壳都有压缩功能,而现在PEID提示压缩的可能非常大,也就是说加壳的可能性很大,当然Ollydbg在载入时也有类似的提示。
但这些还不能完全准确地判断,还是OD载入试试
2010-7-1715:
05上传
下载附件(252.75KB)
判断2:
好多命令有问题哦!
看见了吗,很多是未知命令或错误命令,一般程序不会是这样的吧!
再看看
2010-7-1715:
05上传
下载附件(252.6KB)
判断3:
我知道你有多少
一般加壳程序为了不让人破解,就会加密一些重要的信息,比如文本字串,这个软件查找文本字串时会出现错误,显然作者有东西不让我们知道
到这里,同学们都知道这软件八成就是加壳的,那还有什么其他特征呢
2010-7-1715:
05上传
下载附件(269.19KB)
判断4:
跳转和循环
一般来说,加壳的软件一般都有很多的跳转,而且没有规律,大多是JMP,循环出现在算注册码的时候,但有时用在加壳程序在内存中解码的时候,所以可以作为脱壳的突破口
2010-7-1715:
05上传
下载附件(259.56KB)
判断5:
雷人的命令
这程序真的很雷人,004DA3C2的命令就是一个死循环,进去就出不来
说到这里,我突然想到有些壳会故意加这些命令来使OD提示异常,有些可以跳过,有些(比如这个软件)OD会提示无法回避命令,这样的话,个人推荐StrongOD插件,具体设置见图
2010-7-1715:
05上传
下载附件(264.85KB)
设置好了,就可以跳过大多数的异常了,当然在记得在不用的时候把钩去掉
对于这种不明的壳,只有手动了,具体的手动操作大家可以在XX找“手动脱壳”,我就不提了
个人尝试了一下,找到一个疑似OEP的地方
2010-7-1715:
05上传
下载附件(266.19KB)
入口是Dephi的,而壳刚刚查过,是VC的,那么这是OEP的可能很大,脱壳试试
2010-7-1715:
05上传
下载附件(125.18KB)
修复过程很正常,但是运行时出错
2010-7-1715:
05上传
下载附件(71.37KB)
2010-7-1715:
05上传
下载附件(59.28KB)
2010-7-1715:
05上传
下载附件(53.24KB)
个人觉得奇怪的是既然系统提示出错,为何软件又运行了,难道是自校验。
但也许是我修复输入表时有问题。
教程就写到这里了,牛人可以试试脱壳,能脱的,请回复一下,简要讲讲脱壳的过程,或是另外写一个帖子,反正就是要分享经验了。
把软件地址附上 2011常识判断名师模块-伍景玉01.exe
难点3.jpg(37.46KB,下载次数:
2)
2010-7-1715:
05上传
下载次数:
2