什么是加殼
加殼的全稱應該是可執(zhí)行程序資源壓縮,壓縮后的程序可以直接運行。加殼,顧名思義,就是給一個東西加上一個殼,只不過這里是程序。就好比這大自然中的種子一樣,為了保護自己,有一層殼,要想看到里面的東西,就要剝開這層殼。 加殼的另一種常用的方式是在二進制的程序中植入一段代碼,在運行的時候優(yōu)先取得程序的控制權(quán),之后再把控制權(quán)交還給原始代碼,這樣做的目的是隱藏程序真正的OEP(入口點,防止被破解)。大多數(shù)病毒就是基于此原理。 加殼的程序需要阻止外部程序或軟件對加殼程序本身的反匯編分析或者動態(tài)分析,以達到保護殼內(nèi)原始程序以及軟件不被外部程序破壞,保證原始程序正常運行。這種技術(shù)也常用來保護軟件版權(quán),防止軟件被破解。但對于病毒,加殼可以繞過一些殺毒軟件的掃描,從而實現(xiàn)它作為病毒的一些入侵或破壞的一些特性。 加殼的工具分為壓縮殼和加密殼: * UPX ASPCAK TELOCK PELITE NSPACK … * * ARMADILLO ASPROTECT ACPROTECT EPE SVKP …*
什么是脫殼
脫殼就是將外面的保護程序脫掉,看到里面的程序。對于有殼的程序,每次程序的入口點總是從殼開始,,這個入口點是EP,那么源程序的入口點是OEP,殼將真正的OEP隱藏了,我們脫殼就是修改程序的入口點。
如何脫殼
如果沒有基礎(chǔ)的匯編知識,那就查出相應的殼,用相應的脫殼機進行脫殼,那如果,脫殼機無法脫呢?手動脫殼!
基礎(chǔ)知識
1.PUSHAD (壓棧) 代表程序的入口點, 2.POPAD (出棧) 代表程序的出口點,與PUSHAD想對應,一般找到這個OEP就在附近 3.OEP:程序的入口點,軟件加殼就是隱藏了OEP(或者用了假的OEP/FOEP),只要我們找到程序真正的OEP,就可以立刻脫殼。
脫殼的方法清單
詳細請參考 https://www.jb51.net/softjc/720126.html
方法一:單步跟蹤法
1.用OD載入,點“不分析代碼!” 2.單步向下跟蹤F8,實現(xiàn)向下的跳。也就是說向上的跳不讓其實現(xiàn)?。ㄍㄟ^F4) 3.遇到程序往回跳的(包括循環(huán)),我們在下一句代碼處按F4(或者右健單擊代碼,選擇斷點——>運行到所選) 4.綠色線條表示跳轉(zhuǎn)沒實現(xiàn),不用理會,紅色線條表示跳轉(zhuǎn)已經(jīng)實現(xiàn)! 5.如果剛載入程序,在附近就有一個CALL的,我們就F7跟進去,不然程序很容易跑飛,這樣很快就能到程序的OEP 6.在跟蹤的時候,如果運行到某個CALL程序就運行的,就在這個CALL中F7進入 7.一般有很大的跳轉(zhuǎn)(大跨段),比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就會到程序的OEP。 PS:在有些殼無法向下跟蹤的時候,我們可以在附近找到?jīng)]有實現(xiàn)的大跳轉(zhuǎn),右鍵–>“跟隨”,然后F2下斷,Shift+F9運行停在“跟隨”的位置,再取消斷點,繼續(xù)F8單步跟蹤。一般情況下可以輕松到達OEP!
方法二:ESP定律法
ESP定理脫殼(ESP在OD的寄存器中,我們只要在命令行下ESP的硬件訪問斷點,就會一下來到程序的OEP了!) 1.開始就點F8,注意觀察OD右上角的寄存器中ESP有沒突現(xiàn)(變成紅色)。 (這只是一般情況下,更確切的說我們選擇的ESP值是關(guān)鍵句之后的第一個ESP值) 2.在命令行下:dd XXXXXXXX(指在當前代碼中的ESP地址,或者是hr XXXXXXXX),按回車! 3.選中下斷的地址,斷點—>硬件訪—>WORD斷點。 4.按一下F9運行程序,直接來到了跳轉(zhuǎn)處,按下F8,到達程序OEP。
方法三:內(nèi)存鏡像法
1:用OD打開軟件! 2:點擊選項——調(diào)試選項——異常,把里面的忽略全部√上!CTRL+F2重載下程序! 3:按ALT+M,打開內(nèi)存鏡象,找到程序的第一個.rsrc.按F2下斷點,然后按SHIFT+F9運行到斷點,接著再按ALT+M,打開內(nèi)存鏡象,找到程序的第一個.rsrc.上面的.CODE(也就是00401000處),按F2下斷點!然后按SHIFT+F9(或者是在沒異常情況下按F9),直接到達程序OEP!
方法四:一步到達OEP
1.開始按Ctrl+F,輸入:popad(只適合少數(shù)殼,包括UPX,ASPACK殼),然后按下F2,F(xiàn)9運行到此處 2.來到大跳轉(zhuǎn)處,點下F8,到達OEP!
方法五:最后一次異常法
1:用OD打開軟件 2:點擊選項——調(diào)試選項——異常,把里面的√全部去掉!CTRL+F2重載下程序 3:一開始程序就是一個跳轉(zhuǎn),在這里我們按SHIFT+F9,直到程序運行,記下從開始按SHIFT+F9到程序運行的次數(shù)m! 4:CTRL+F2重載程序,按SHIFT+F9(這次按的次數(shù)為程序運行的次數(shù)m-1次) 5:在OD的右下角我們看見有一個”SE 句柄”,這時我們按CTRL+G,輸入SE 句柄前的地址! 6:按F2下斷點!然后按SHIFT+F9來到斷點處! 7:去掉斷點,按F8慢慢向下走! 8:到達程序的OEP!
方法六:模擬跟蹤法
1:先試運行,跟蹤一下程序,看有沒有SEH暗樁之類 2:ALT+M打開內(nèi)存鏡像,找到(包含=SFX,imports,relocations) 內(nèi)存鏡像,項目 30 地址=0054B000 大小=00002000 (8192.) Owner=check 00400000 區(qū)段=.aspack 包含=SFX,imports,relocations 類型=Imag 01001002 訪問=R 初始訪問=RWE 3:地址為0054B000,如是我們在命令行輸入tc eip<0054B000,回車,正在跟蹤ing。。 PS:大家在使用這個方法的時候,要理解他是要在怎么樣的情況下才可以使用
方法七:“SFX”法
1:設置OD,忽略所有異常,也就是說異常選項卡里面都打上勾 2:切換到SFX選項卡,選擇“字節(jié)模式跟蹤實際入口(速度非常慢)”,確定。 3:重載程序(如果跳出是否“壓縮代碼?”選擇“否”,OD直接到達OEP) ps:這種方法不要濫用得好,鍛煉能力為妙。
這里最常用的ESP定律法(堆棧平衡原理),為什么說是ESP呢,當所有的寄存器都壓入棧時(pushad),esp地址的是指向棧頂?shù)牡刂返?,當殼將?zhí)行權(quán)交給源程序時,esp地址要回到pushad之前的狀態(tài),這時就可以看到esp變化了,這就是源程序的入口點。(匯編,匯編,匯編!)
什么是加殼和脫殼技術(shù)?加殼和脫殼技術(shù)是什么意思?
什么是加殼和脫殼技術(shù)?加殼和脫殼技術(shù)是什么意思?加殼,是一種通過一系列數(shù)學運算,將可執(zhí)行程序文件或動態(tài)鏈接庫文件的編碼進行改變(目前還有一些加殼軟件可以壓縮、加密驅(qū)動程序),以達到縮小文件體積或加密程序編碼的目的。加殼一般是指保護程序資源的方法。
脫殼一般是指除掉程序的保護,用來修改程序資源。馬甲”能穿也能脫。相應的,有加殼也一定會有解殼(也叫脫殼)。脫殼主要有兩種方法:硬脫殼和動態(tài)脫殼。
第一種,是硬脫殼,這是指找出加殼軟件的加殼算法,寫出逆向算法,就像壓縮和解壓縮一樣。由于,目前很多“殼”均帶有加密、變形的特點,每次加殼生成的代碼都不一樣。硬脫殼對此無能為力,但由于其技術(shù)門檻較低,仍然被一些殺毒軟件所使用。
第二種,是動態(tài)脫殼。由于加殼的程序運行時必須還原成原始形態(tài),即加殼程序會在運行時自行脫掉“馬甲”。目前,有一種脫殼方式是抓取(Dump)內(nèi)存中的鏡像,再重構(gòu)成標準的執(zhí)行文件。相比硬脫殼方法,這種脫殼方法對自行加密、變形的殼處理效果更好。
殼的概念
在一些計算機軟件里有一段專門負責保護軟件不被非法修改或反編譯的程序。它們一般都是先于程序運行,拿到控制權(quán),然后完成它們保護軟件的任務。就像動植物的殼一般都是在身體外面一樣理所當然(但后來也出現(xiàn)了所謂的“殼中帶籽”的殼)。由于這段程序和自然界的殼在功能上有很多相同的地方,基于命名的規(guī)則,大家就把這樣的程序稱為“殼”了。就像計算機病毒和自然界的病毒一樣,其實都是命名上的方法罷了。 從功能上抽象,軟件的殼和自然界中的殼相差無幾。無非是保護、隱蔽殼內(nèi)的東西。而從技術(shù)的角度出發(fā),殼是一段執(zhí)行于原始程序前的代碼。原始程序的代碼在加殼的過程中可能被壓縮、加密……。當加殼后的文件執(zhí)行時,殼-這段代碼先于原始程序運行,他把壓縮、加密后的代碼還原成原始程序代碼,然后再把執(zhí)行權(quán)交還給原始代碼。 軟件的殼分為加密殼、壓縮殼、偽裝殼、多層殼等類,目的都是為了隱藏程序真正的OEP(入口點,防止被破解)。關(guān)于“殼”以及相關(guān)軟件的發(fā)展歷史請參閱吳先生的《一切從“殼”開始》。
作者編好軟件后,編譯成exe可執(zhí)行文件。 1.有一些版權(quán)信息需要保護起來,不想讓別人隨便改動,如作者的姓名,即為了保護軟件不被破解,通常都是采用加殼來進行保護。 2.需要把程序搞的小一點,從而方便使用。于是,需要用到一些軟件,它們能將exe可執(zhí)行文件壓縮, 3.在黑客界給木馬等軟件加殼脫殼以躲避殺毒軟件。實現(xiàn)上述功能,這些軟件稱為加殼軟件。
(二)加殼軟件最常見的加殼軟件ASPACK ,UPX,PEcompact 不常用的加殼軟件WWPACK32;PE-PACK ;PETITE NEOLITE
(三)偵測殼和軟件所用編寫語言的軟件,因為脫殼之前要查他的殼的類型。 1.偵測殼的軟件fileinfo.exe 簡稱fi.exe(偵測殼的能力極強) 2.偵測殼和軟件所用編寫語言的軟件language.exe(兩個功能合為一體,很棒) 推薦language2000中文版(專門檢測加殼類型) 3.軟件常用編寫語言Delphi,VisualBasic(VB)---最難破,VisualC(VC)
(四)脫殼軟件。 軟件加殼是作者寫完軟件后,為了保護自己的代碼或維護軟件產(chǎn)權(quán)等利益所常用到的手段。目前有很多加殼工具,當然有盾,自然就有矛,只要我們收集全常用脫殼工具,那就不怕他加殼了。軟件脫殼有手動脫和自動脫殼之分,下面我們先介紹自動脫殼,因為手動脫殼需要運用匯編語言,要跟蹤斷點等,不適合初學者,但我們在后邊將稍作介紹。
加殼一般屬于軟件加密,現(xiàn)在越來越多的軟件經(jīng)過壓縮處理,給漢化帶來許多不便,軟件漢化愛好者也不得不學習掌握這種技能?,F(xiàn)在脫殼一般分手動和自動兩種,手動就是用TRW2000、TR、SOFTICE等調(diào)試工具對付,對脫殼者有一定水平要求,涉及到很多匯編語言和軟件調(diào)試方面的知識。而自動就是用專門的脫殼工具來脫,最常用某種壓縮軟件都有他人寫的反壓縮工具對應,有些壓縮工具自身能解壓,如UPX;有些不提供這功能,如:ASPACK,就需要UNASPACK對付,好處是簡單,缺點是版本更新了就沒用了。另外脫殼就是用專門的脫殼工具來對付,最流行的是PROCDUMP v1.62 ,可對付目前各種壓縮軟件的壓縮檔。在這里介紹的是一些通用的方法和工具,希望對大家有幫助。我們知道文件的加密方式,就可以使用不同的工具、不同的方法進行脫殼。下面是我們常常會碰到的加殼方式及簡單的脫殼措施,供大家參考: 脫殼的基本原則就是單步跟蹤,只能往前,不能往后。脫殼的一般流程是:查殼->尋找OEP->Dump->修復 找OEP的一般思路如下: 先看殼是加密殼還是壓縮殼,壓縮殼相對來說容易些,一般是沒有異常,找到對應的popad后就能到入口,跳到入口的方式一般為。 我們知道文件被一些壓縮加殼軟件加密,下一步我們就要分析加密軟件的名稱、版本。因為不同軟件甚至不同版本加的殼,脫殼處理的方法都不相同。
常用脫殼工具:
1、文件分析工具(偵測殼的類型):Fi,GetTyp,peid,pe-scan,
2、OEP入口查找工具:SoftICE,TRW,ollydbg,loader,peid
3、dump工具:IceDump,TRW,PEditor,ProcDump32,LordPE
4、PE文件編輯工具PEditor,ProcDump32,LordPE
5、重建Import Table工具:ImportREC,ReVirgin
6、ASProtect脫殼專用工具:Caspr(ASPr V1.1-V1.2有效),Rad(只對ASPr V1.1有效),loader,peid
(1)Aspack: 用的最多,但只要用UNASPACK或PEDUMP32脫殼就行了
(2)ASProtect+aspack:次之,國外的軟件多用它加殼,脫殼時需要用到SOFTICE+ICEDUMP,需要一定的專業(yè)知識,但最新版現(xiàn)在暫時沒有辦法。
(3)Upx: 可以用UPX本身來脫殼,但要注意版本是否一致,用-D 參數(shù)
(4)Armadill: 可以用SOFTICE+ICEDUMP脫殼,比較煩
(5)Dbpe: 國內(nèi)比較好的加密軟件,新版本暫時不能脫,但可以破解
(6)NeoLite: 可以用自己來脫殼
(7)Pcguard: 可以用SOFTICE+ICEDUMP+FROGICE來脫殼
(8)Pecompat: 用SOFTICE配合PEDUMP32來脫殼,但不要專業(yè)知識
(9)Petite: 有一部分的老版本可以用PEDUMP32直接脫殼,新版本脫殼時需要用到SOFTICE+ICEDUMP,需要一定的專業(yè)知識
(10)WWpack32: 和PECOMPACT一樣其實有一部分的老版本可以用PEDUMP32直接脫殼,不過有時候資源無法修改,也就無法漢化,所以最好還是用SOFTICE配合 PEDUMP32脫殼
我們通常都會使用Procdump32這個通用脫殼軟件,它是一個強大的脫殼軟件,他可以解開絕大部分的加密外殼,還有腳本功能可以使用腳本輕松解開特定外殼的加密文件。另外很多時候我們要用到exe可執(zhí)行文件編輯軟件ultraedit。我們可以下載它的漢化注冊版本,它的注冊機可從網(wǎng)上搜到。ultraedit打開一個中文軟件,若加殼,許多漢字不能被認出 ultraedit打開一個中文軟件,若未加殼或已經(jīng)脫殼,許多漢字能被認出 ultraedit可用來檢驗殼是否脫掉,以后它的用處還很多,請熟練掌握例如,可用它的替換功能替換作者的姓名為你的姓名注意字節(jié)必須相等,兩個漢字替兩個,三個替三個,不足處在ultraedit編輯器左邊用00補。
常見的殼脫法:
(一)aspack殼 脫殼可用unaspack或caspr 1.unaspack ,使用方法類似lanuage,傻瓜式軟件,運行后選取待脫殼的軟件即可. 缺點:只能脫aspack早些時候版本的殼,不能脫高版本的殼 2.caspr第一種:待脫殼的軟件(如aa.exe)和caspr.exe位于同一目錄下,執(zhí)行windows起始菜單的運行,鍵入 caspr aa.exe脫殼后的文件為aa.ex_,刪掉原來的aa.exe,將aa.ex_改名為aa.exe即可。使用方法類似fi 優(yōu)點:可以脫aspack任何版本的殼,脫殼能力極強缺點:Dos界面。第二種:將aa.exe的圖標拖到caspr.exe的圖標上***若已偵測出是aspack殼,用unaspack脫殼出錯,說明是aspack高版本的殼,用caspr脫即可。
(二)upx殼 脫殼可用upx待脫殼的軟件(如aa.exe)和upx.exe位于同一目錄下,執(zhí)行windows起始菜單的運行,鍵入upx -d aa.exe。
(三)PEcompact殼 脫殼用unpecompact 使用方法類似lanuage傻瓜式軟件,運行后選取待脫殼的軟件即可。
(四)procdump 萬能脫殼但不精,一般不要用 使用方法:運行后,先指定殼的名稱,再選定欲脫殼軟件,確定即可脫殼后的文件大于原文件由于脫殼軟件很成熟,手動脫殼一般用不到。
虛擬機脫殼引擎(VUE)技術(shù)
對于病毒,如果讓其運行,則用戶計算機就會被病毒感染。因此,一種新的思路被提出,即給病毒構(gòu)造一個仿真的環(huán)境,誘騙病毒自己脫掉“馬甲”。并且“虛擬環(huán)境”和用戶的計算機隔離,病毒在虛擬機的操作不會對用戶計算機有任何的影響。
“虛擬機脫殼”技術(shù)已經(jīng)成為近年來全球安全業(yè)界公認的、解決這一問題的最有效利器。但由于編寫虛擬機系統(tǒng)需要解決虛擬CPU、虛擬周邊硬件設備、虛擬驅(qū)動程序等多個方面的困難。
脫殼能力不強的殺毒軟件,對付“加殼”后病毒就需要添加兩條不同的特征記錄。如果黑客換一種加殼工具加殼,則對于這些殺毒軟件來說又是一種新的病毒,必須添加新的特征記錄才能夠查殺。如果殺毒軟件的脫殼能力較強,則可以先將病毒文件脫殼,再進行查殺,這樣只需要一條記錄就可以對這些病毒通殺,不僅減小殺毒軟件對系統(tǒng)資源的占用,同時大大提升了其查殺病毒的能力。
最新資訊