-
壳是什么?脱壳又是什么?这是很多经常感到迷惑和经常提出的问题,
其
实这个问题一点也
不幼稚。
当你想听说脱壳这个名词并试着去了
解的时候,
说明你已经在各个安全站点很有了
一段日子了。下面
,我们进入
“
壳
”
的世界吧。
一、金蝉脱壳的故事
我先想
讲个故事吧。
那就是金蝉脱壳。
金蝉脱壳属于三十六计中的混战
计。
金蝉脱壳的
本意是:寒蝉在蜕变时,本体脱离皮壳而走,只
留下蝉蜕还挂在枝头。此计用于军事,是指
通过伪装摆脱敌人,撤退或转移,以实现我方
的战略目标的谋略。稳住对方,撤退或转移,
决不是惊慌失措,消极逃跑,而是保留形式
,抽走内容,稳住对方,使自己脱离险境达到己
方战略目标,
己
方常常可用巧妙分兵转移的机会出击另一部分敌人。
三国时期,
诸葛亮六出
祁山,
北伐中原,
但一直未
能成功,
终于在第六次北伐时,
积劳成疾,
在五丈原病死于军中。
维遵照诸葛亮的吩咐,在诸葛亮死
后,秘不发丧,对外严密封锁消息。他带着灵柩,秘密率
部撤退。
司马懿派部队跟踪追击蜀军。
姜维命工匠仿诸葛亮摸样,
雕了
一个木人,
羽扇纶巾,
稳坐车中。并派杨仪率领部分人马大张旗
鼓,向魏军发动进攻。魏军远望蜀军,军容整齐,
旗鼓大张,又见诸葛亮稳坐车中,指挥
若定,不知蜀军又耍什么花招,不敢轻举妄动。司马
懿一向知道诸葛亮
< br>“
诡计多端
”
,又怀疑此次退兵
乃是诱敌之计,
于是命令部队后撤,
观察蜀
军动向。姜维趁司马懿退兵的大好时机,马上指挥主力部队,迅速安全转移,撤回汉中。等
< br>司马懿得知诸葛亮已死,再进兵追击,为时已晚。相信这个故事,大家在大型连续剧《三国
演义》里已经看过了。呵呵,只是没有理解得这么深入罢了!而在黑客入侵技术中,金蝉脱
壳则是指:
删除系统运行日志
攻击者攻破系统后,
常删除系统运行日志,
隐藏自己的痕迹
...
呵呵
二、壳,脱壳,加壳
在自然界中,我想大家对壳这东西
应该都不会陌生了,由上述故事,我们也可见一斑。
自然界中植物用它来保护种子,
p>
动物用它来保护身体等等。
同样,
在一些计
算机软件里也有
一段专门负责保护软件不被非法修改或反编译的程序。
< br>它们一般都是先于程序运行,
拿到控
制权,
然后完成它们保护软件的任务。
就像动植物的壳一般都是在身体外面一样理所
当然
(但
后来也出现了所谓的
“
壳中带籽
”
的壳)
。
由于这段程序和自然界的壳在功能上有很多相同的
地方,
基于命
名的规则,
大家就把这样的程序称为
“
壳
”
了。
就像计算机病毒和自然界的病
毒
一样,其实都是命名上的方法罢了。
从功能上抽象,软件的壳和自然界中的壳相差无几。
无非是保护、隐蔽壳内的东西。而
从技术的角度出发,壳是一段执行于原始程序前的代码。
原始程序的代码在加壳的过程中
可能被压缩、
加密
……
。
当加壳后的文件执行时,
壳-这段
代码先于原始程序
运行,
他把压缩、
加密后的代码还原成原始程序代码,
然后再把执行权交
还给原始代码。
软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类,目的都是为了隐藏
程
序真正的
OEP
(入口点,防止被破解)
。关于
“
壳
”
以及相关软件的发展历史请参阅吴先生
的《一切从
“
壳
”
开始》
。
(一)壳的概念
作者编好软件后,编译成
exe
可执行文件。
1.
有一些版权信息需要保护起来,不想让
别人随便改动,如作
者的姓名,即为了保护软件不被破解,通常都是采用加壳来进行保护。
2.
需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能
将
exe
可执行
文件压缩,
3.
在黑客界给木马等软件加壳脱壳以躲避杀毒
软件。实现上述功能,这些软件
称为加壳软件。
(二)加壳软件最常见的加壳软件
ASPACK
< br>,
UPX
,
PEcompact
不常用的加壳软件
WWPACK32
;
PE-PACK
;
PETITE
NEOLITE
(三)侦测壳和软件所用编写语言的软件
因为脱壳之前要查他的壳的类型。
1.
侦测壳的软件
< br>简称
(侦测壳的能力极强)
。<
/p>
2.
侦测壳和软件所用编写语言的软件
(两个功能合为一体,很棒)
,推荐
lang
uage2000
中文版(专门检测加壳类型)
。
< br>3.
软件常用编写语言
Delphi
,
VisualBasic
(
VB
)
---
最难破,
VisualC
(
VC
)
。
(四)脱壳软件
软件加
壳是作者写完软件后,
为了保护自己的代码或维护软件产权等利益所常用到的手
段。目前有很多加壳工具,当然有盾,自然就有矛,只要我们收集全常用脱壳工具,那就不
怕他加壳了。
软件脱壳有手动脱和自动脱壳之分,
下面我们先介绍自动脱壳,
因为手动脱壳
需要运用汇编语言
,要跟踪断点等,不适合初学者,但我们在后边将稍作介绍。
加壳一般属于软件加密,
现在越来越多的软件经过压缩处理,
给汉化带来许多不便,
软
件汉化爱好者也不得不学习掌握这种技能。现在脱壳一般分手动和自动两种
,手动就是用
TRW2000
、
TR<
/p>
、
SOFTICE
等调试工具对付,对脱
壳者有一定水平要求,涉及到很多汇编语
言和软件调试方面的知识。
而自动就是用专门的脱壳工具来脱,
最常用某种压缩软件都有他
人写的反压缩工具对应,有些压缩工具自身能解压,如
UPX
;有些不提供这功能,如:
ASPACK
,就需要
UNASPACK
对付,好处是简单,缺点是版本更新了就没用了。另外脱
壳
就是用专门的脱壳工具来对付,最流行的是
PROCDUMP
v1.62
,可对付目前各种压缩软件
的压缩档。
在这里介绍的是一些通用的方法和工具,
希望对大家有帮助。
我们知道文件的加
密方式,
就可以使用不同的工具、
不同的方法进行脱壳。
下面是我们常常会碰到的加壳方式
及简单的脱壳措施,供大家参考:
脱壳的基
本原则就是单步跟踪,只能往前,不能往后。
脱壳的一般流程是:查壳
< br>->
寻找
OEP->Dump->
修复
找
OEP
的一般思路如下:
先看壳是加
密
壳还是压缩壳,
压缩壳相对来说容易些,
一般是没有异常,
p>
找到对应的
popad
后就能到入
口,跳到入口的方式一般为。
我们知道文件被
一些压缩加壳软件加密,下一步我们就要分
析加密软件的名称、版本。因为不同软件甚至
不同版本加的壳,脱壳处理的方法都不相同。
常用脱壳工具:
< br>1
、文件分析工具(侦测壳的类型)
:
< br>Fi
,
GetTyp
,
peid
,
pe-
scan
,
2
、
OEP
入口查找工具:
SoftI
CE
,
TRW
,
ollydbg
,
loader
,<
/p>
peid 3
、
dump
工具:
IceDump
,
TR
W
,
PEditor
,
ProcDump32
,
LordPE
4
、
PE
文件编辑工具
p>
PEditor
,
ProcDump32<
/p>
,
LordPE
5
、重
建
Import Table
工具:
ImportREC
,
ReVi
rgin 6
、
ASProtect
脱
壳专用工具:
Caspr
(
ASPr
V1.1-V1.2
有效)
,
Rad<
/p>
(
只对
ASPr V1.1
有效)
,
loader
,<
/p>
peid
(
1
)
Aspack
:
用的最多,
但只要用
UNASPACK
或
PEDUMP32
脱壳就行了
(
2
)
ASP
rotect+aspack
:次之,国外的软件多用它加壳,脱壳时
< br>需要用到
SOFTICE+ICEDUMP
,需要一定的
专业知识,但最新版现在暂时没有办法。
(
< br>3
)
Upx
:
< br>
可以用
UPX
本身来脱壳,但
要注意版本是否一致,用
-D
参数
(
4
)
Arm
adill
:
可
以用
SOFTICE+ICEDUMP
脱壳,比较烦
(
5
)
Dbpe
:
国内比较好
的加密软件,新版本暂
时不能脱,但可以破解
(
6
)
NeoLite
:
可以用自己来脱壳
(
7
)
Pcguard
:
可以用
SOFTICE+ICEDUMP+
FROGICE
来脱壳
(
8
)
Pecompat
:
用
SOFTICE
< br>配合
PEDUMP32
来
脱壳,
但不要专业知识
(
9
)
Petite
:
有一部分的老版本可以用
PEDUMP32
直接
脱壳,新
版本脱壳时需要用到
SOFTICE+ICEDUMP
,需要一定的专业知识
(
10
)
WWpack32
:
和
PECOMPACT
一样其实有一部分的老版本可以用
PEDUMP32
直接脱壳,
不过有时候资源无
法修改,也就无法汉化,所以最
好还是用
SOFTICE
配合
PEDUMP32
脱壳
我们通常都
会使用
< br>Procdump32
这个通用脱壳软件,它是一个强大的脱壳软件,他可以解开
绝大部分的
加密外壳,
还有脚本功能可以使用脚本轻松解开特定
外壳的加密文件。
另外很多时候我们要
用到
exe
可执行文件编辑软件
ultraedit
。我们可以下载它的汉化注册版本,它的注册机可从
网上搜到。
ultraedit
打开一个中文软件,若加壳,许多汉字不能被认出
p>
ultraedit
打开一个中
文软件,若未加壳或已经脱壳,许多汉字能被认出
ultraedit
可用来检验壳是否脱掉,以后
-
-
-
-
-
-
-
-
-
上一篇:电脑文件名_点加后面字母代表什么
下一篇:get down是什么意思中文翻译