• 正在加载中...
  • 脱壳

    在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”。软件加壳是作者写完软件后,为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具,既然有盾,自然就有矛,脱壳即去掉软件所加的壳,软件脱壳有手动脱和自动脱壳之分,

    编辑摘要

    基本信息 编辑信息模块

    中文名: 脱壳 英文名: Unpacking
    出处: 计算机编程
    负责: 保护软件 优势: 先于程序运行
    分类: 手动脱和自动脱壳 性质: 原始程序前的代码
    应用领域: 计算机

    目录

    壳的概念/脱壳 编辑

    从技术的角度出发,壳是一段执行于原始程序前的代码。原始程序的代码在加壳   的过程中可能被压缩、加密……当加壳后的文件执行时,壳-这段代码先于原始程序运行,他把压缩、加密后的代码还原成原始程序代码,然后再把执行权交还给原始代码。软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类,目的都是为了隐藏程序真正的OEP(入口点,防止被破解)。

    作者编好软件后,编译成exe可执行文件。1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名,即为了保护软件不被破解,通常都是采用加壳来进行保护。2.需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩。3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能,这些软件称为加壳软件。

    脱壳软件/脱壳 编辑

    加壳一般属于软件加密,越来越多的软件经过压缩处理,给汉化带来许多不便,软件汉化爱好者也不得不学习掌握这种技能。脱壳一般分手动和自动两种,手动就是用TRW2000、TR、SOFTICE等调试工具对付,对脱壳者有一定水平要求,涉及到很多汇编语言和软件调试方面的知识。而自动就是用专门的脱壳工具来脱,最常用某种压缩软件都有他人写的反压缩工具对应,有些压缩工具自身能解压,如UPX;有些不提供这功能,如:ASPACK,就需要UNASPACK对付,好处是简单,缺点是版本更新了就没用了。另外脱壳就是用专门的脱壳工具来对付,最流行的是PROCDUMP v1.62 ,可对付各种压缩软件的压缩档。在这里介绍的是一些通用的方法和工具,希望对大家有帮助。我们知道文件的加密方式,就可以使用不同的工具、不同的方法进行脱壳。下面是我们常常会碰到的加壳方式及简单的脱壳措施,供大家参考:脱壳的基本原则就是单步跟踪,只能往前,不能往后。脱壳的一般流程是:查壳->寻找OEP->Dump->修复。找OEP的一般思路如下: 先看壳是加密壳还是压缩壳,压缩壳相对来说容易些,一般是没有异常,找到对应的popad后就能到入口,跳到入口的方式一般为:jmp OEP、push OEP ret、call OEP,当然也有其它的,如je OEP等等,一般都是段之间的大跳转,OD的反汇编窗口里都是同一个段的内容,所以更好区别是否是段间跳转。我们知道文件被一些压缩加壳软件加密,下一步我们就要分析加密软件的名称、版本。因为不同软件甚至不同版本加的壳,脱壳处理的方法都不相同。

    脱壳工具/脱壳 编辑

    1、文件分析工具(侦测壳的类型):Fi,GetTyp,peid,pe-scan,

    2、OEP入口查找工具:SoftICE,TRW,ollydbg,loader,peid

    3、dump工具:IceDump,TRW,PEditor,ProcDump32,LordPE

    4、PE文件编辑工具PEditor,ProcDump32,LordPE

    5、重建Import Table工具:ImportREC,ReVirgin

    6、ASProtect脱壳专用工具:Caspr(ASPr V1.1-V1.2有效),Rad(只对ASPr V1.1有效),loader,peid(1)Aspack:用的最多,但只要用UNASPACK或PEDUMP32脱壳就行了

    (2)ASProtect+aspack:次之,国外的软件多用它加壳,脱壳时需要用到SOFTICE+ICEDUMP,需要一定的专业知识。

    (3)Upx:可以用UPX本身来脱壳,但要注意版本是否一致,用-D参数

    (4)Armadill:可以用SOFTICE+ICEDUMP脱壳,比较烦

    (5)Dbpe:国内比较好的加密软件,新版本暂时不能脱,但可以破解

    (6)NeoLite:可以用自己来脱壳

    (7)Pcguard:可以用SOFTICE+ICEDUMP+FROGICE来脱壳

    (8)Pecompat:用SOFTICE配合PEDUMP32来脱壳,但不要专业知识

    (9)Petite:有一部分的老版本可以用PEDUMP32直接脱壳,新版本脱壳时需要用到SOFTICE+ICEDUMP,需要一定的专业知识

    (10)WWpack32:和PECOMPACT一样其实有一部分的老版本可以用PEDUMP32直接脱壳,不过有时候资源无法修改,也就无法汉化,所以最好还是用SOFTICE配合 PEDUMP32脱壳 我们通常都会使用Procdump32这个通用脱壳软件,它是一个强大的脱壳软件,他可以解开绝大部分的加密外壳,还有脚本功能可以使用脚本轻松解开特定外壳的加密文件。另外很多时候我们要用到exe可执行文件编辑软件ultraedit。我们可以下载它的汉化注册版本,它的注册机可从网上搜到。ultraedit打开一个中文软件,若加壳,许多汉字不能被认出ultraedit打开一个中文软件,若未加壳或已经脱壳,许多汉字能被认出ultraedit可用来检验壳是否脱掉,以后它的用处还很多,请熟练掌握例如,可用它的替换功能替换作者的姓名为你的姓名注意字节必须相等,两个汉字替两个,三个替三个,不足处在ultraedit编辑器左边用00补。

    壳脱法/脱壳 编辑

    1、aspack壳:脱壳可用unaspack或caspr。(1)unaspack ,使用方法类似lanuage,傻瓜式软件,运行后选取待脱壳的软件即可。缺点:只能脱aspack早些时候版本的壳,不能脱高版本的壳。(2)caspr,第一种:待脱壳的软件(如aa.exe)和caspr.exe位于同一目录下,执行windows起始菜单的运行,键入caspr aa.exe脱壳后的文件为aa.ex_,删掉原来的aa.exe,将aa.ex_改名为aa.exe即可。使用方法类似fi优点:可以脱aspack任何版本的壳,脱壳能力极强缺点:Dos界面。第二种:将aa.exe的图标拖到caspr.exe的图标上***若已侦测出是aspack壳,用unaspack脱壳出错,说明是aspack高版本的壳,用caspr脱即可。

    2、upx壳:脱壳可用upx待脱壳的软件(如aa.exe)和upx.exe位于同一目录下,执行windows起始菜单的运行,键入upx -d aa.exe。

    3、PEcompact壳:脱壳用unpecompact 使用方法类似lanuage傻瓜式软件,运行后选取待脱壳的软件即可。

    4、procdump:万能脱壳但不精,一般不要用,使用方法:运行后,先指定壳的名称,再选定欲脱壳软件,确定即可,脱壳后的文件大于原文件,由于脱壳软件很成熟,手动脱壳一般用不到。

    相关信息/脱壳 编辑

    加壳软件最常见的加壳软件ASPACK ,UPX,PEcompact,不常用的加壳软件WWPACK32,PE-PACK,PETITE NEOLITE。

    侦测壳和软件所用编写语言的软件,因为脱壳之前要查他的壳的类型。

    1.侦测壳的软件fileinfo.exe,简称fi.exe(侦测壳的能力极强);2.侦测壳和软件所用编写语言的软件language.exe(两个功能合为一体,很棒),推荐language2000中文版(专门检测加壳类型);3.软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC)。

    相关文献

    添加视频 | 添加图册相关影像

    互动百科的词条(含所附图片)系由网友上传,如果涉嫌侵权,请与客服联系,我们将按照法律之相关规定及时进行处理。未经许可,禁止商业网站等复制、抓取本站内容;合理使用者,请注明来源于www.baike.com。

    登录后使用互动百科的服务,将会得到个性化的提示和帮助,还有机会和专业认证智愿者沟通。

    互动百科用户登录注册
    此词条还可添加  信息模块

    WIKI热度

    1. 编辑次数:25次 历史版本
    2. 参与编辑人数:19
    3. 最近更新时间:2019-06-30 15:21:21