第一课时(下):破解基础之常见加壳程序特征

文章目录

    • 一、压缩壳
      • 1.1 UPX
        • 1.1.a 使用查壳工具
        • 1.1.b 分析区段信息
      • 1.2 ASPack
        • 1.2.a 使用查壳工具
        • 1.2.b 分析区段信息
        • 1.2.c 分析入口特征
    • 二、保护壳
      • 2.1 Themida
        • 2.1.a 使用查壳工具
        • 2.1.b 分析入口特征
      • 2.2 Shielden
        • 2.2.a 使用查壳工具
        • 2.2.b 分析区段信息
      • 2.3 VMProtect / Shielden / Safengine
        • 2.3.a 使用查壳工具

一、压缩壳

1.1 UPX

1.1.a 使用查壳工具

第一课时(下):破解基础之常见加壳程序特征_第1张图片

1.1.b 分析区段信息

第一课时(下):破解基础之常见加壳程序特征_第2张图片

1.2 ASPack

1.2.a 使用查壳工具

# 将程序拖入到Exeinfo中查看
第一课时(下):破解基础之常见加壳程序特征_第3张图片

1.2.b 分析区段信息

# ASPack区段信息包含VS 5个区段,多了两个 .aspack和 .adate(名字可变,只通过查看区段不能100%确定)
第一课时(下):破解基础之常见加壳程序特征_第4张图片

1.2.c 分析入口特征

第一课时(下):破解基础之常见加壳程序特征_第5张图片

二、保护壳

2.1 Themida

2.1.a 使用查壳工具

# 将程序拖入到Exeinfo中查看(第一个代码区段为空[一般Themida不加加密壳校验,因此此不会改],最后两个随机的任意字符)
第一课时(下):破解基础之常见加壳程序特征_第6张图片
# 不同版本不同可能中间还会有一个区段
第一课时(下):破解基础之常见加壳程序特征_第7张图片

2.1.b 分析入口特征

# 新入口特征
第一课时(下):破解基础之常见加壳程序特征_第8张图片
# 老入口特征
第一课时(下):破解基础之常见加壳程序特征_第9张图片

2.2 Shielden

2.2.a 使用查壳工具

# 将程序拖入到Exeinfo中查看(四个区段[ 老版本可能有多个 ],有两个区段默认一样,即使改变名字可能不一样但是名称一样[ 可记为长的一样! ])
第一课时(下):破解基础之常见加壳程序特征_第10张图片

2.2.b 分析区段信息

# Ctrl+A 分析代码
第一课时(下):破解基础之常见加壳程序特征_第11张图片
# 放到开始跳过两次jmp(按两下F7)
第一课时(下):破解基础之常见加壳程序特征_第12张图片
# 分析后可看到哪个SE加壳版本
第一课时(下):破解基础之常见加壳程序特征_第13张图片

2.3 VMProtect / Shielden / Safengine

2.3.a 使用查壳工具

# 将程序拖入到Exeinfo中查看(代码和数据段保留,资源段和重定位放到下面,中间添加3个区段)
第一课时(下):破解基础之常见加壳程序特征_第14张图片

你可能感兴趣的:(破解解除,判断程序加了什么壳,如何判断程序壳,加壳程序特征,破解学习)