認(rèn)識殼與程序的特征

國內(nèi)接觸到程序比較流行的編譯器有：VC系列、易語言、.NET、Delphi，VB、ASM、BC++，AutoIt、PB、QT等，實例來看看“入口點代碼”、“程序區(qū)段”和“加載模塊”等特征。

VB6特征：

VC6特征：

入口點代碼是固定的代碼，入口調(diào)用的API也是相同的，其中有的push地址不同程序可能不同；區(qū)段有四個也是固定的.text、.rdata、.data和.rsrc。

VS2008,VS2013,VS2015特點:

VS特征：入口點只有兩行代碼，一個CALL后直接JMP，第一個CALL進(jìn)去后調(diào)用的API也是相同的；區(qū)段相對于VC6多了一個.reloc。.text、.rdata、.data、.rsrc、.reloc

易語言編譯無殼程序（獨立編譯和非獨立編譯）:

非獨立編譯:特征非常明顯,會加載“krnln.fnr”模塊,及有一些ascii特征碼

獨立編譯:因易語言用的是VC6的編譯器,所以入口特征和區(qū)塊特征跟VC6特征是一樣的，最簡單的就是查找字符串方法：

看特證字符串,Ollydbg中右擊選擇中文搜索引擎--智能搜索,如果有以下特征字符串，就可以確定是易語言編寫:

Delphi特征:

入口點代碼是有以下特征；區(qū)段一般有8個,基中固定的CODE,DATA,BSS。

MASM(匯編)特征:

加殼程識別:

PEiD、FFI、FastScanner、RDG Packer Detector這類程序都是通過數(shù)據(jù)庫進(jìn)行加殼程序特征對比的，好多年沒更新了。
Exeinfo PE屬于新一代查殼工具，作者目前還在更新，加殼特征庫比較準(zhǔn)確而且范圍很廣，如ThemIDA、WinLicense、VMProtect、ZProtect、Shielden都可以輕松識別出來，可以說是目前可以說最好的查殼工具了

Aspack殼特征:入口點及區(qū)段有以下特點

UPX殼特征:入口點及區(qū)段有以下特點

Themida殼特征:入口點及區(qū)段有以下特點,新老版本的入口點不太一致

VMProtect殼特征:入口點看起來像是亂碼,主要看區(qū)段特征,里面的vmp0,vmp1名字是可以隨便換的

?

Shielden殼特征:入口處有些跳轉(zhuǎn),分析一下代碼,單步運(yùn)行會現(xiàn)一些ascii特征,區(qū)段一般有四個,其中二個.sedata是可以隨便改的

EZIP殼特征:入口處為以下特征,可F8步入，push ad?后用esp定律或單步手動脫殼,

總結(jié)

以上是生活随笔為你收集整理的认识常见壳与程序的特征的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。