|
这个教程主要是讲判断程序是否加壳,所以老鸟飞过。很多人一看到这里,就会说用PEID查壳就行了呀,其实不然。现在 一些商用的软件为了加密来保护知识产权,已不满足于ASProtect、ACProtect等这些有名的强壳,这些壳虽加密强度高,对新手来说遥不可及,但因为很多人研究,已经很容易手动脱壳。所以这些商家就想到了自行加壳(这在看雪的加密与解密中有提到)和修改程序入口的特征(搞黑客,做木马免杀的都知道),这样查壳工具就会显示无壳,但其实还是加了壳的,有时还不止一层壳。
那怎么准确的判断是否加壳呢?这就是今天的主要内容。 首先按照常规给软件查壳 
看上去没有壳,那我们再深入看看,点击PEID右下角的扩展信息试试 
判断1: 你有没有压缩呀? 虽然壳有压缩壳和加密壳,但现在大多数的壳都有压缩功能,而现在PEID提示压缩的可能非常大,也就是说加壳的可能性很大,当然Ollydbg在载入时也有类似的提示。但这些还不能完全准确地判断,还是OD载入试试 
判断2: 好多命令有问题哦! 看见了吗,很多是未知命令或错误命令,一般程序不会是这样的吧! 再看看 
判断3: 我知道你有多少 一般加壳程序为了不让人破解,就会加密一些重要的信息,比如文本字串,这个软件查找文本字串时会出现错误,显然作者有东西不让我们知道 到这里,同学们都知道这软件八成就是加壳的,那还有什么其他特征呢 
判断4: 跳转和循环 一般来说,加壳的软件一般都有很多的跳转,而且没有规律,大多是JMP,循环出现在算注册码的时候,但有时用在加壳程序在内存中解码的时候,所以可以作为脱壳的突破口 
判断5: 雷人的命令 这程序真的很雷人,004DA3C2的命令就是一个死循环,进去就出不来 说到这里,我突然想到有些壳会故意加这些命令来使OD提示异常,有些可以跳过,有些(比如这个软件)OD会提示无法回避命令,这样的话,个人推荐StrongOD插件,具体设置见图 
设置好了,就可以跳过大多数的异常了,当然在记得在不用的时候把钩去掉 对于这种不明的壳,只有手动了,具体的手动操作大家可以在百度找“手动脱壳”,我就不提了 个人尝试了一下,找到一个疑似OEP的地方 
入口是Dephi的,而壳刚刚查过,是VC的,那么这是OEP的可能很大,脱壳试试 
修复过程很正常,但是运行时出错 
个人觉得奇怪的是既然系统提示出错,为何软件又运行了,难道是自校验。但也许是我修复输入表时有问题。 教程就写到这里了,牛人可以试试脱壳,能脱的,请回复一下,简要讲讲脱壳的过程,或是另外写一个帖子,反正就是要分享经验了。 把软件地址附上http://u./file/f3915243ea 2011常识判断名师模块-伍景玉01.exe |
|
|
