第一课时（下）：破解基础之常见加壳程序特征

一、压缩壳

1.1 UPX

1.1.a 使用查壳工具

1.1.b 分析区段信息

1.2 ASPack

1.2.a 使用查壳工具

# 将程序拖入到Exeinfo中查看

1.2.b 分析区段信息

# ASPack区段信息包含VS 5个区段，多了两个 .aspack和 .adate（名字可变，只通过查看区段不能100%确定）

1.2.c 分析入口特征

二、保护壳

2.1 Themida

2.1.a 使用查壳工具

# 将程序拖入到Exeinfo中查看（第一个代码区段为空[一般Themida不加加密壳校验，因此此不会改]，最后两个随机的任意字符）

# 不同版本不同可能中间还会有一个区段

2.1.b 分析入口特征

# 新入口特征

# 老入口特征

2.2 Shielden

2.2.a 使用查壳工具

# 将程序拖入到Exeinfo中查看（四个区段[ 老版本可能有多个 ]，有两个区段默认一样，即使改变名字可能不一样但是名称一样[ 可记为长的一样！ ]）

2.2.b 分析区段信息

# Ctrl+A 分析代码

# 放到开始跳过两次jmp（按两下F7）

# 分析后可看到哪个SE加壳版本

2.3 VMProtect / Shielden / Safengine

2.3.a 使用查壳工具

# 将程序拖入到Exeinfo中查看（代码和数据段保留，资源段和重定位放到下面，中间添加3个区段）