破解基础你到底有没有壳.docx

破解基础你到底有没有壳.docx

《破解基础你到底有没有壳.docx》由会员分享，可在线阅读，更多相关《破解基础你到底有没有壳.docx（12页珍藏版）》请在冰豆网上搜索。

破解基础你到底有没有壳

首先说明一下，这篇文章是转自

  这个教程主要是讲判断程序是否加壳，所以老鸟飞过。

很多人一看到这里，就会说用PEID查壳就行了呀，其实不然。

现在  一些商用的软件为了加密来保护知识产权，已不满足于ASProtect、ACProtect等这些有名的强壳，这些壳虽加密强度高，对新手来说遥不可及，但因为很多人研究，已经很容易手动脱壳。

所以这些商家就想到了自行加壳（这在看雪的加密与解密中有提到）和修改程序入口的特征（搞黑客，做木马免杀的都知道），这样查壳工具就会显示无壳，但其实还是加了壳的，有时还不止一层壳。

  那怎么准确的判断是否加壳呢？

这就是今天的主要内容。

  首先按照常规给软件查壳

2010-7-1715:

05上传

下载附件（41.37KB）

看上去没有壳，那我们再深入看看，点击PEID右下角的扩展信息试试

2010-7-1715:

05上传

下载附件（42.7KB）

判断1:

你有没有压缩呀？

虽然壳有压缩壳和加密壳，但现在大多数的壳都有压缩功能，而现在PEID提示压缩的可能非常大，也就是说加壳的可能性很大，当然Ollydbg在载入时也有类似的提示。

但这些还不能完全准确地判断，还是OD载入试试

2010-7-1715:

05上传

下载附件（252.75KB）

判断2:

  好多命令有问题哦！

看见了吗，很多是未知命令或错误命令，一般程序不会是这样的吧！

再看看

2010-7-1715:

05上传

下载附件（252.6KB）

判断3:

我知道你有多少

一般加壳程序为了不让人破解，就会加密一些重要的信息，比如文本字串，这个软件查找文本字串时会出现错误，显然作者有东西不让我们知道

到这里，同学们都知道这软件八成就是加壳的，那还有什么其他特征呢

2010-7-1715:

05上传

下载附件（269.19KB）

判断4:

跳转和循环

一般来说，加壳的软件一般都有很多的跳转，而且没有规律，大多是JMP，循环出现在算注册码的时候，但有时用在加壳程序在内存中解码的时候，所以可以作为脱壳的突破口

2010-7-1715:

05上传

下载附件（259.56KB）

判断5:

雷人的命令

这程序真的很雷人，004DA3C2的命令就是一个死循环，进去就出不来

说到这里，我突然想到有些壳会故意加这些命令来使OD提示异常，有些可以跳过，有些（比如这个软件）OD会提示无法回避命令，这样的话，个人推荐StrongOD插件，具体设置见图

2010-7-1715:

05上传

下载附件（264.85KB）

设置好了，就可以跳过大多数的异常了，当然在记得在不用的时候把钩去掉

对于这种不明的壳，只有手动了，具体的手动操作大家可以在XX找“手动脱壳”，我就不提了

个人尝试了一下，找到一个疑似OEP的地方

2010-7-1715:

05上传

下载附件（266.19KB）

入口是Dephi的，而壳刚刚查过，是VC的，那么这是OEP的可能很大，脱壳试试

2010-7-1715:

05上传

下载附件（125.18KB）

修复过程很正常，但是运行时出错

2010-7-1715:

05上传

下载附件（71.37KB）

2010-7-1715:

05上传

下载附件（59.28KB）

2010-7-1715:

05上传

下载附件（53.24KB）

个人觉得奇怪的是既然系统提示出错，为何软件又运行了，难道是自校验。

但也许是我修复输入表时有问题。

教程就写到这里了，牛人可以试试脱壳，能脱的，请回复一下，简要讲讲脱壳的过程，或是另外写一个帖子，反正就是要分享经验了。

把软件地址附上  2011常识判断名师模块-伍景玉01.exe

难点3.jpg（37.46KB,下载次数:

2）

2010-7-1715:

05上传

下载次数:

2