吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 556902|回复: 1097
上一主题 下一主题

[讨论] 【初学者教程】破解基础知识之认识壳与程序的特征

    [复制链接]
跳转到指定楼层
楼主
Hmily 发表于 2014-1-20 16:51 回帖奖励
帖子有些没有写完,主要是有些不太方便写,所以直接录制视频供大家观看学习交流(例子也放在爱盘大家可以从下面地址下载):
《吾爱破解培训第一课:破解基础知识之介绍常见工具和壳的特征》,讲师:Hmily
http://www.52pojie.cn/thread-378612-1-1.html

对于新手来说,程序是什么语言编写的?程序到底有没有加壳?程序加了什么壳?一直在他们心中充满了疑惑,本文我将根据一些实例解答一下这些问题,并实例提供下载方便大家分析理解,文章有不足之处欢迎大家跟帖指出。

正文目录就按上面的问题逐步展开,一个程序从编译出来的时候一般都是没有壳的,不同编译器编译出的无壳程序也是不相同的,认识了不同编译器编译出来的无壳的程序,再去看无壳程序被加壳程序加壳后的样子就轻松很多,经过对比从而了解不同语言无壳程序和加壳后程序的特征是什么,特征主要从“入口点代码”、“程序区段”和“加载模块”等信息来确定。

作为一名关注windows程序加密解密行业的老兵有必要给新同学传递一些信息,近两年从行业看已经很少有新的windows加壳软件出现了,大部分开发者都转战移动平台,由于windows加密商业需求逐渐降低,所以加壳程序的增长也是有限了,并不会增加太多,我会在这篇文章中把绝大多数目前还在流行使用的windows加壳和对应例子提供一下,供大家学习参考。

以下文中提到的工具在爱盘中都可以免费下载到最新版本:http://down.52pojie.cn/Tools/

一:程序是什么语言编译的
从目前国内接触到程序看,比较流行的编译器有:VC系列、易语言、.NET、Delphi,一些曾经用的很多但渐渐少了有:VB、ASM、BC++,还有一些用的比较少的有:AutoIt、PB、QT等,下面提供一些由论坛同学编译出来的试炼品,结合实例来看看“入口点代码”、“程序区段”和“加载模块”等特征。

1、VC6编译无壳程序 吾爱破解论坛学习脱壳实例_VC6.rar (5.42 KB, 下载次数: 24241)

OllyDbg查看入口点代码如下:

PEID查看区段如下:


VC6特点:入口点代码是固定的代码,入口调用的API也是相同的,其中有的push地址不同程序可能不同;区段有四个也是固定的.text、.rdata、.data和.rsrc。

VS2008和VS2013编译无壳程序 吾爱破解论坛学习脱壳实例_VS.rar (271.82 KB, 下载次数: 7572)
OllyDbg查看入口点代码如下:




PEID查看区段如下:


VS特点:入口点只有两行代码,一个CALL后直接JMP,第一个CALL进去后调用的API也是相同的;区段相对于VC6多了一个.reloc。

2、易语言编译无壳程序(独立编译和非独立编译) 吾爱破解论坛学习脱壳实例_易语言.rar (1.4 MB, 下载次数: 7315) (由于易语言独立编译是调用VC的链接程序编译的,所以从区段和入口代码特征和VC相同,下图为非独立编译带运行库)
OllyDbg查看入口点代码如下:


查看模块:


查看核心代码:


易语言特点:可以从程序里找一些call的调用最终都会走到上面核心代码图位置(文字不太好表达),这个方法可以区分和VC的区别,非独立编译比较容易识别,入口特征和模块特征都有krnln.fnr。

3、Delhpi编译无壳程序 吾爱破解论坛学习脱壳实例_Delphi.rar (158.54 KB, 下载次数: 2827)

二:如何识别加壳

1、通过PEiDExeinfo PE查壳工具内置各种壳的十六进制特征码进行对比查壳,说下优缺点吧。

PEiD、FFI、FastScanner、RDG Packer Detector这类程序都是通过目录下的userdb.txt(查壳程序不同可能数据库名有出入)数据库进行加壳程序特征对比的,由于userdb.txt文件都是好多年前的了,全球基本都在用fly在09年发布的UpKPEiDSign,即使有新的也都基于他制作的版本之上进行更新的,而且更新都没有太好效果,由于原理都是通过加壳程序的特征进行对应,而这些加壳特征都是个人总结而来,对加壳程序的模糊搜索对比造成可靠性不高,特别是对于VMProtect这类加密壳程序,经常被识别成一些算七八糟都没见过的加壳内容,特别是显示UPolyX,基本都是误报,对新手的误导很严重,但对于传统的一些压缩壳的识别效果还是很好的,当然了,有利有弊,正是由于它的开放性特征库,也方便给大家提供自己编写特征的方法,来识别一些新的壳,期待大家能做出自己的加壳特征来。




Exeinfo PE属于新一代查壳工具,作者目前还在更新,它和PEiD的区别可能就在于它的特征库是作者自己维护,不支持外部修改,新版好像也开始支持外部特征库了,这款查壳工具的加壳特征库比较准确而且范围很广,如ThemIDA、WinLicense、VMProtect、ZProtect、Shielden都可以轻松识别出来,但对于具体加壳程序的版本都是模糊的,其实个人认为加壳版本真的不重要,这个后面再具体说道,Exeinfo PE可以说是目前可以说最好的查壳工具了,推荐大家使用。



2、通过入口特征和区段特征来识别

现在很多新手发贴询问一个程序是什么壳,就给出一个PEiD的封面截图,这么少的内容让大牛们看着都揪心不知如何回答你的问题,到底哪些地方是和壳的特征息息相关的,我暂时看来有程序的区段信息和程序的入口特征信息。

区段信息可以通过PEiD的EP处点击获取到,比如下图的区段信息中可以轻松看出,这是一款Themida或者WinLicense的加壳程序。



入口特征可以通过OllyDBG载入获得,载入后可以按一下“Ctrl+A”,让OD分析一下代码,就可以把入口点一些特征字符串分析出来,从下图的入口信息可以轻松看出,这是一款Safengine加壳的程序,对于Shielden、Safengine、VProtect这类加壳程序都可以使用这种方法判断出来。





三:程序加的是什么壳

目前在我看来windows程序状态大体可以分为以下几种类型:未加壳、压缩壳、传统加密壳、代码虚拟化保护、.Net程序加密,对于传统的加壳方式只是对

四:提供一下加壳和无壳程序的试炼品,给大家练习

吾爱破解论坛学习脱壳实例_.NET.rar

6.58 KB, 下载次数: 4280, 下载积分: 吾爱币 -1 CB

吾爱破解论坛学习脱壳实例_ASM.rar

3.4 KB, 下载次数: 1063, 下载积分: 吾爱币 -1 CB

吾爱破解论坛学习脱壳实例_AutoIt_v3.rar

391.73 KB, 下载次数: 1266, 下载积分: 吾爱币 -1 CB

吾爱破解论坛学习脱壳实例_BC .rar

557.86 KB, 下载次数: 1104, 下载积分: 吾爱币 -1 CB

吾爱破解论坛学习脱壳实例_VB.rar

4.44 KB, 下载次数: 1260, 下载积分: 吾爱币 -1 CB

吾爱破解论坛学习脱壳实例_aspack.rar

132.69 KB, 下载次数: 1155, 下载积分: 吾爱币 -1 CB

吾爱破解论坛学习脱壳实例_Shielden.rar

743.1 KB, 下载次数: 1411, 下载积分: 吾爱币 -1 CB

吾爱破解论坛学习脱壳实例_Themida.rar

1.19 MB, 下载次数: 1900, 下载积分: 吾爱币 -1 CB

吾爱破解论坛学习脱壳实例_UPX.rar

124.79 KB, 下载次数: 1750, 下载积分: 吾爱币 -1 CB

吾爱破解论坛学习脱壳实例_VMProtect.rar

806.97 KB, 下载次数: 2724, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 350吾爱币 +68 热心值 +345 收起 理由
空宇 + 1 + 1 谢谢@Thanks!
qiao8585933 + 1 + 1 我很赞同!
徐思谦 + 1 + 1 谢谢@Thanks!
hlink1021 + 1 + 1 热心回复!
fop2020 + 1 + 1 谢谢@Thanks!
csll40 + 1 + 1 我很赞同!
邪君 + 1 + 1 热心回复!
mutou666 + 1 + 1 谢大神指点小白~~
huhuaa8 + 1 + 1 谢谢@Thanks!
和风久 + 1 + 1 用心讨论,共获提升!
Ericzha + 1 + 1 谢谢@Thanks!
lua11 + 1 + 1 用心讨论,共获提升!
KingOfLin + 1 + 1 热心回复!
godmodel + 1 我很赞同!
水浊则有渔 + 1 + 1 谢谢@Thanks!
laughingsir38 + 1 + 1 热心回复!
jiamaoii + 1 + 1 热心回复!
尘缘丶 + 1 一脸两眼全身心懵逼
小马哥niwa + 1 + 1 谢谢@Thanks!
yymm33210 + 1 谢谢@Thanks!
zhangpeter + 1 谢谢@Thanks!
sky00 + 1 + 1 谢谢@Thanks!
妃灰湮灭 + 1 + 1 我很赞同!
lsq8880 + 1 + 1 谢谢@Thanks!
kwccer + 1 + 1 谢谢@Thanks!
汐缘此处 + 1 + 1 谢谢@Thanks!
cpf2017 + 1 + 1 大神,我是新来的小白,完全听不懂啊
数字蜀黍 + 1 + 1 已答复!
pojiekris + 1 + 1 谢谢@Thanks!
HW606 + 1 + 1 谢谢@Thanks!
月月鸟500 + 1 + 1 用心讨论,共获提升!
Docupa + 1 + 1 谢谢@Thanks!
weianjiao + 1 + 1 谢谢@Thanks!以后真的要好好学习了
吾爱周年庆 + 1 + 1 热心回复!
者行孙12138 + 1 + 1 已答复!
dulaine + 1 + 1 谢谢@Thanks!
颠覆灬轮回 + 1 已答复!
billysir + 1 + 1 已答复!
Shawn11235 + 1 + 1 谢谢@Thanks!
TSKY + 1 谢谢@Thanks!
zhqk1234567 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
typslz + 1 + 1 谢谢@Thanks!
w好久不见 + 1 + 1 谢谢@Thanks!
pj1818 + 1 + 1 谢谢@Thanks!
wjl5tv + 1 + 1 谢谢@Thanks!
roamshi + 1 + 1 我很赞同!
Sheng_Li + 1 + 1 谢谢@Thanks!
安全小分队 + 1 + 1 谢谢@Thanks!
52_pojie_52 + 1 + 1 我很赞同!
Comeyu + 1 + 1 谢谢@Thanks!
Sa1ka + 1 + 1 谢谢@Thanks!
jwzxwyg + 1 + 1 谢谢@Thanks!
cher + 1 好厉害啊!
techiewang + 1 谢谢@Thanks!
bulian + 1 + 1 谢谢@Thanks!
抽君Arno + 1 谢谢@Thanks!
net234 + 1 初学者的天堂啊~终于可以好好学学破解这一门技术了。
张小胖 + 1 热心回复!
zhangyazhou + 1 什么意思,我都看不懂
mj_love + 1 + 1 谢谢@Thanks!
炒年糕的大叔 + 1 + 1 谢谢@Thanks!
Bearmax + 1 + 1 谢谢@Thanks!
喀的一种 + 1 + 1 谢谢@Thanks!
折翼飞鱼 + 1 + 1 就像看一个女孩 觉得她很美 但说不出哪里美 心碎 ==、
我是你姐夫 + 1 + 1 两眼懵逼!
Lin552 + 1 + 1 看着好高端,好想学,可是一点也不会
万物容之主 + 1 + 1 谢谢@Thanks!
夜半歌声 + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
zhanghebei + 1 + 1 谢谢@Thanks!
zhangxin0702 + 1 + 1 有没有负基础的教程/(ㄒoㄒ)/~~
ai979520253 + 2 + 1 楼下的都看不懂。很好,让为师来指导一二,其实老衲也是一脸懵逼
Johnbingo + 1 谢谢@Thanks!
myfamilyx + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
zhihaoxiang + 1 + 1 已答复!
wu992250 + 1 + 1 经典呀,我收藏了。谢谢楼主
2447802727 + 1 谢谢@Thanks!
分久的合 + 1 一脸懵逼的我 总之辛苦楼主了
IT__JSP + 1 突然发现自己连新手都算不算,我要好好努力了,求0基础教程
荒野汉尼拔 + 1 谢谢@Thanks!
这一次抬头微笑 + 1 谢谢@Thanks!
你大丨 + 1 谢谢@Thanks!
z123436 + 1 谢谢@Thanks!
majx168 + 1 谢谢@Thanks!
FallStop + 1 谢谢@Thanks!
南城以南得南 + 1 谢谢@Thanks!
jidaojiuyou + 1 谢谢@Thanks!
Black咖 + 1 用心讨论,共获提升!
cj887100 + 1 谢谢@Thanks!
txyiezero + 1 感谢楼主
PUNCHIN + 1 谢谢@Thanks!
wyz05170517 + 1 谢谢@Thanks!
当我遇上了你 + 1 我是初学者中的初学者,很多不懂,还望以后多多教我
Aony88 + 1 我很赞同!
Tstarluck + 1 谢谢@Thanks!
chinacore_zhao + 1 谢谢@Thanks!
湮玖 + 1 谢谢@Thanks!
Forest_ming + 1 破解学习的开始!
山色空蒙 + 1 我觉得我好废物啊,一头雾水
MEDICINE + 1 谢谢@Thanks!
超人弟弟 + 1 谢谢@Thanks!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
hackjacky 发表于 2014-6-19 22:43
H大.咱们新手建议吾爱把新的工具打包一份传上网盘.现在新手东下一个西下一个.工具乱套了,要么就是很多工具都是老款的,跟不上时代了,所以提个小小的建议哈
推荐
 楼主| Hmily 发表于 2014-6-13 22:08 |楼主
占个楼吧,有补充就编辑这里了,上面的还没写完,大家可以跟帖补充,我会把内容扩充到主题帖中。
推荐
抢我所爱的你 发表于 2014-6-27 13:54
推荐
 楼主| Hmily 发表于 2014-6-20 18:04 |楼主
殺狼 发表于 2014-6-20 18:02
脱壳真的很重要的,壳脱不了,其他的什么都干不了  根本没办法继续下去

得看你干什么,现在基本不脱壳,要做的事情也是不脱壳一样可以做,觉得没什么区别。
推荐
属于自己生活 发表于 2014-7-3 17:03
新人去什么地方学习破解和下载软件
推荐
霸气男爵丶 发表于 2014-7-7 21:31
我都看不懂怎么办。。。。。唉,继续努力吧。
推荐
提拉米苏/aiq 发表于 2014-6-23 17:53
这种帖子对现在的我很有用。谢谢楼主
推荐
问苍天 发表于 2014-6-22 11:35
这种帖子对现在的我很有用。3Q
推荐
ccss123 发表于 2014-6-30 13:56
好好学习!!!增长知识
推荐
tryit 发表于 2014-6-21 22:21
期待后续更新!
12#
yangchunhua 发表于 2014-6-13 23:30
占个楼 顶你一下
13#
奋斗的路程 发表于 2014-6-15 18:22
VM的壳是不是没有人能破解啊  好难
14#
殺狼 发表于 2014-6-20 18:02
脱壳真的很重要的,壳脱不了,其他的什么都干不了  根本没办法继续下去

点评

得看你干什么,现在基本不脱壳,要做的事情也是不脱壳一样可以做,觉得没什么区别。  详情 回复 发表于 2014-6-20 18:04
15#
zmh1995789 发表于 2014-6-21 14:47
赞一个呢~
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止回复与主题无关非技术内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2020-7-9 19:46

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表