第一课时(下):破解基础之常见加壳程序特征
生活随笔
收集整理的這篇文章主要介紹了
第一课时(下):破解基础之常见加壳程序特征
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
文章目錄
- 一、壓縮殼
- 1.1 UPX
- 1.1.a 使用查殼工具
- 1.1.b 分析區(qū)段信息
- 1.2 ASPack
- 1.2.a 使用查殼工具
- 1.2.b 分析區(qū)段信息
- 1.2.c 分析入口特征
- 二、保護(hù)殼
- 2.1 Themida
- 2.1.a 使用查殼工具
- 2.1.b 分析入口特征
- 2.2 Shielden
- 2.2.a 使用查殼工具
- 2.2.b 分析區(qū)段信息
- 2.3 VMProtect / Shielden / Safengine
- 2.3.a 使用查殼工具
一、壓縮殼
1.1 UPX
1.1.a 使用查殼工具
1.1.b 分析區(qū)段信息
1.2 ASPack
1.2.a 使用查殼工具
# 將程序拖入到Exeinfo中查看
1.2.b 分析區(qū)段信息
# ASPack區(qū)段信息包含VS 5個(gè)區(qū)段,多了兩個(gè) .aspack和 .adate(名字可變,只通過查看區(qū)段不能100%確定)
1.2.c 分析入口特征
二、保護(hù)殼
2.1 Themida
2.1.a 使用查殼工具
# 將程序拖入到Exeinfo中查看(第一個(gè)代碼區(qū)段為空[一般Themida不加加密殼校驗(yàn),因此此不會改],最后兩個(gè)隨機(jī)的任意字符)
# 不同版本不同可能中間還會有一個(gè)區(qū)段
2.1.b 分析入口特征
# 新入口特征
# 老入口特征
2.2 Shielden
2.2.a 使用查殼工具
# 將程序拖入到Exeinfo中查看(四個(gè)區(qū)段[ 老版本可能有多個(gè) ],有兩個(gè)區(qū)段默認(rèn)一樣,即使改變名字可能不一樣但是名稱一樣[ 可記為長的一樣! ])
2.2.b 分析區(qū)段信息
# Ctrl+A 分析代碼
# 放到開始跳過兩次jmp(按兩下F7)
# 分析后可看到哪個(gè)SE加殼版本
2.3 VMProtect / Shielden / Safengine
2.3.a 使用查殼工具
# 將程序拖入到Exeinfo中查看(代碼和數(shù)據(jù)段保留,資源段和重定位放到下面,中間添加3個(gè)區(qū)段)
總結(jié)
以上是生活随笔為你收集整理的第一课时(下):破解基础之常见加壳程序特征的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: C# 通过窗口标题关闭窗口和弹出窗口的进
- 下一篇: DM3730 X-load 分析