精华内容
参与话题
问答
  • 这个加壳程序在使用Die查壳的时候,查不出来壳,但是用PEid查的时候显示有壳但是又查不出具体是什么壳.(很奇怪,我也不知道是什么类型的壳,毕竟是加壳程序加的,但是实现原理是加密IAT的方式) 接下来正式脱壳: 还是遵循...

    程序运行:
    在这里插入图片描述
    这个加壳程序在使用Die查壳的时候,查不出来壳,但是用PEid查的时候显示有壳但是又查不出具体是什么壳.(很奇怪,我也不知道是什么类型的壳,毕竟是加壳程序加的,但是实现原理是加密IAT的方式)
    接下来正式脱壳:
    还是遵循一把的脱壳方式,先找OEP,找到OEP之后脱壳:
    (通过找大跳转的方式进行寻找)
    在这里插入图片描述
    找到大跳转之后,直接运行过去准备脱壳:
    在这里插入图片描述
    但是,之这个时候进行脱壳是存物的,虽然我们的OEP没有问题,但是,之前的介绍已经讲明,这是一个加密壳(加密了IAT表的壳),这个时候脱壳的话,拖出来的程序是不能运行的,因为IAT表还没有修复.我们可以跟过去看一下,这个时候IAT表的内容:
    在这里插入图片描述
    总结之前脱IAT加密壳的经验,我们需要把握三个重要的地址:
    第一个就是获取到正确的IAT内容的地址
    第二个就是找到对IAT进行修改的地方
    第三个就是找到OEP

    以上三个要素,OEP我们已经找到,接下来的工作就是寻找获取正确IAT内容的地址以及找到修改IAT内容的地址

    还是老方法,我们找修改IAT表的地址,通过在IAT表内部下硬件写入断点,来找到相应的地址:
    在这里插入图片描述
    之后将程序重新加载,直接运行,记录程序段下来的地址:
    (在重载之后运行之前,需要确认自己下的硬件写入断点是不是被程序清除掉了,如果清除掉了,重新在IAT表下断点,再执行,而且再进行这个操作的时候一定要清除所有的程序断点,保持唯一变量)
    程序重新加载之后直接F9跑起来,记录程序段下来的地址:
    第一次断:49D2B4
    第二次断:49D5F0
    经过调试运行,可以知道,程序在我们的硬件写入断点的条件下,只断下来两次,需要注意,我们要寻找的修改IAT表的地方应该是最后的修改的地方,因为第一次的IAT写入断点我们不是很关心(这个时候,还在运行加壳程序),但是在第二次的IAT写入的时候就是为我们的程序运行做准备了,所以我们要第二次的IAT写入断点的地址:也就是49D5F0.
    在这里插入图片描述
    在这里断下来之后,我们可以掌握一个信息,那就是在这里对IAT表的内容进行修改,在这个地址往上看,发现有异或和赋值的操作,这时候就要敏感,会不会是将原来的IAT数据进行加密之后再存回去,为了验证我们的猜想,我们可以在这里进行调试一下,下断点之后直接定位让程序运行到这里:
    在这里插入图片描述
    接下来开始调试:
    可以看到程序执行GetProcAddress来获取函数的地址:
    在这里插入图片描述
    在这里,在执行完这个API的时候,获取的函数地址的返回值,存储在EAX里边,接下来的操作就是针对EAX的操作,在获取到正常的函数之后,将原来的函数地址进行简单的加密操作,之后存储:
    在这里插入图片描述
    在这里插入图片描述
    也就是说,上边的整个IAT加密过程整理如下:
    1:首先获取函数的正确地址
    2:将正确的地址进行简单加密操作
    3:申请一块空间
    4:将加密过的数据放在申请的空间里边
    5:将申请的空间的基址放到IAT表里边

    所以经过上边的分析,我们另外的两个关键点也找到了,接下来就是开始写脚本 ,手动修复IAT表
    在这里插入图片描述
    修复脚本如上,当然也可以使用,直接修改程序的方法进行修复
    在这里插入图片描述
    这也是一种方法,(不过采用这种方式修复IAT表 之后再脱壳的方式我也没试过,还是脚本比较舒服一点)
    以上就是整个脱壳过程

    展开全文
  • 石器时代加壳工具石器时代加壳工具石器时石器时代加壳工具加壳工具
  • 加壳工具

    千次阅读 2013-11-17 21:35:56
    1.程序编写语言: 常见的程序制作语言有: ... 很多软件都通过加壳保护来提高软件的破解难度,下面我们简单的介绍一下加壳工具。 2.软件加壳工具介绍: II 压缩壳介绍: 常见压缩壳有:ASPa

    1.程序编写语言:
    常见的程序制作语言有:
    Borland Delphi 6.0 - 7.0
    Microsoft Visual C++ 6.0
    Microsoft Visual Basic 5.0 / 6.0
    还有汇编、易语言等。 很多软件都通过加壳保护来提高软件的破解难度,下面我们简单的介绍一下加壳工具。
    2.软件加壳工具介绍:
    II 压缩壳介绍:

    常见压缩壳有:ASPack、UPX、PeCompact、NsPack(国产北斗壳)等,压缩壳主要为了压缩软件本身的体积(压缩率)和压缩后软件运行的稳定性,谈不上有太多加密强度,脱壳比较简单。推荐那些需要压缩体积的软件使用。 Fly大哥在一蓑烟雨论坛上做了一个《压缩壳之王——The King of PE Compressor》的调查。该帖对压缩壳(大约31款)做了一个全面的整理和调查,从投票结果上来看目前UPX V2.X处在首位.
    (!EP (ExE Pack) V1.0、32LiTE v0.02d、ASPack V2.12、bambam V0.01、BeRoEXEPacker V1.00、dePack V1.0、Dxpack V0.86、Exe32Pack V1.42、eXPressor V1.4.5.1、EZip V1.0、FSG V2.0、hmimys-Packer V1.0、KByS V0.28、MEW 11 SE V1.2、NeoLite V2.0、nPack V1.X、 Packman V1.0、PCShrink V0.71、PeCompact V2.7X、PE-PaCK V1.0、Petite V2.3、PeX V0.99b、 PKLite32 V1.1、SimplePack V1.X、Software Compress V1.4、UPX V2.X、WinUPack V0.39、WWPack32 V1.20等)
    详见该帖:压缩壳之王——The King of PE Compressor: http://bbs.unpack.cn/thread-7912-1-1.html

    III 加密壳介绍:

    压缩壳主要就是针对软件的加密保护,也有一些人用加密壳来做一些木马的免杀,导致一些杀软件查到该壳就误报病毒,这点大家还是需要注意下的。加密壳的种类有很多,其中有不少精品,如果手工脱和修复,即使高手来脱,也是需要费很大力气的。
    以下五款加密壳的知识介绍参考kanxue老师写的《加壳软件简介》一文。
    1. ASProtect加密壳 俄国人Alexey Solodovnikov开发的一款强壳。官方站点www.aspack.com
    ASProtect SKE系列己采用了部分虚拟机技术,主要是在Protect Original EntryPoint与SDK上。保护过程中建议大量里使用SDK, SDK使用请参考其帮助文档,在使用时注意SDK不要嵌套,并且同一组标签用在同一个子程序段里。ASProtect使用相当的简单,打开被保护的EXE/DLL文件后,选上保护的选项。再单击菜单Modes,单击Add Mode按钮,将Is this Mode Avtive选上,最后,单击Protection标签,对软件进行保护即可。ASProtect加壳过程中也可外挂用户自己写的DLL文件,方法是在上图中的External Options选项加上目标DLL即可。这样,用户可以在DLL加入自己的反跟踪代码,以提高软件的反跟踪能力。 强度评介:由于ASProtect名气太大,研究它的人很多,因此很容易被脱壳,不推荐使用。 补充一点:ASPr的完美脱壳脚本VolX大侠已经写出。

    2.Armadillo加密壳 Armadillo也称穿山甲,是一款应用面较广的壳。可以运用各种手段来保护你的软件,同时也可以为软件加上种种限制,包括时间、次数,启动画面等等!很多商用软件采用其加壳。Armadillo对外发行时有Public,Custom两个版本。Public是公开演示的版本,Custom是注册用户拿到的版本。只有Custom才有完整的功能,Public版有功能限制,没什么强度,不建议采用。 强度评介:Armadillo中比较强大的保护选项是Nanomites保护(即CC保护),用的好能提高强度,其他选项没什么强度。 补充一点:这些天看到一萧烟雨论坛的NewBBQ刚放出了一个有效修复CC的一个工具,期待完美脱壳机。

    3.EXECryptor加密壳 EXECryptor也是一款猛壳,可能由于兼容性等原因,采用其保护的商业软件不是太多。这款壳的特点是Anti-Debug做的比较隐蔽,另外就是采用了虚拟机保护一些关键代码。 强度评介:用好EXECryptor 虚拟机保护功能,将关键敏感代码用虚拟机保护起来,能提高强度。EXECryptor 壳能脱的人很多,但对付其虚拟机代码的人不多。

    4.Themida加密壳 Themida是Oreans的一款商业壳,官方链接:www.oreans.com。Themida 1.1以前版本带驱动,稳定性有些影响。Themida最大特点就是其虚拟机保护技术,因此在程序中擅用SDK,将关键的代码让Themida用虚拟机保护起来。Themida最大的缺点就是生成的软件有些大。WinLicense这款壳和Themida是同一公司的一个系列产品,WinLicense主要多了一个协议,可以设定使用时间,运行次数等功能,两者核心保护是一样的。 强度评介:用好其虚拟机保护功能,将关键敏感代码用虚拟机保护起来,能提高强度。

    5.VM Protect
    VMProtect是一款纯虚拟机保护软件,官方链接:www.VMProtect.ru。它是当前最强的虚拟机保护软件,经VMProtect处理过的代码,至今还没有人公开宣称能还原。但也有缺点,就是会影响程序速度,因此在一些对速度要求很高的场合就不适合用了。VMProtect 1.22.3之前是免费版,可以支持EXE,DLL等文件。更高版本需要购买,其支持驱动的保护。现在流行的做法,先用VMProtect将你的核心代码处理一下,再选用一款兼容性好的壳保护。
    注意事项: 1.用VMProtect处理,请多测试,如果不稳定,请调整被保护代码的范围。 2.VMProtect对双线程支持不是太好,请同一次仅处理一个线程内的代码

    6.Code Virtualizer(简称CV的壳,一款使用虚拟机技术的强壳)

    7.EncryptPE(CCG老王写的一款强壳)

    8.PE-Armor (CCG成员hying写的一款强壳)

    9.SVK Protector 、ACProtect、Dbpe(幻影壳,好久没更新了)、MoleBox、ORiEN 等等。

    展开全文
  • ZProtect加壳工具

    2019-02-11 23:37:00
    极好的加壳工具,不用写任何代码即可给自己的软件加上保护。并且可以设置到期时间等。
  • net加壳工具

    2018-12-18 08:27:54
    net加壳工具,很好使用,直接将程序加壳,防止他人反编等
  • VMP加壳工具

    2018-02-19 14:49:02
    VMP加壳加壳加密软件,保护你的软件不被破解 加壳加密软件,保护你的软件不被破解
  • UPX加壳工具

    2012-01-23 12:07:17
    对exe或dll进行UPX加壳工具,是一个非常好用的工具
  • vmprotect 加壳工具

    2018-08-13 14:44:25
    vm 加壳工具 支持界面/命令行操作方式, 使用简单 易懂
  • apk加壳工具

    2015-09-22 19:13:24
    apk测试过的 可以加壳防止被外人轻松的破解apk , 让人无法获取你的接口
  • EsProtect加壳工具

    2013-11-08 00:26:26
    易语言EsProtect加壳工具,可以将易语言程序压缩
  • 穿山甲 加壳工具

    2012-09-11 20:23:41
    穿山甲加壳,保护你的程序,常见的壳中比较难破解的一种
  • ACProtect加壳工具

    2013-06-07 00:08:42
    应用很广泛的加壳工具,适合开发人员在编程后使用...
  • 软件加壳工具

    2015-06-07 16:32:40
    给自己写的软件进行加壳,轻轻松松维护自己的软件版权!
  • 检测加壳工具

    2013-07-14 07:18:24
    检测加壳工具
  • ASPack加壳工具

    2018-12-11 15:28:45
    ASPack 是专门对 WIN32 可执行程序进行压缩的工具,压缩后程序能正常运行,不会受到任何影响。而且即使你已经将 ASPack 从系统中删除,曾经压缩过的文件仍可正常使用。
  • upx加壳工具

    2016-03-09 14:48:30
    Qt程序压缩利器你懂的
  • Themida加壳工具

    2013-11-06 22:57:45
    一款优秀的商业保护壳,强度非常高。和WinLicense这款壳是同一公司的一个系列产品,WinLicense主要多了一个协议,可以设定使用时间,运行次数等功能,两者核心保护是一样的。 Themida 1.0.0.8:带驱动保护,1.1以后...
  • 木马加壳软件——Aspack木马加壳工具,操作简便,无需注册
  • bat文件加壳工具

    2012-08-26 14:07:03
    可以将bat文件加壳成exe文件,用户看不到bat文件的代码,最智能的是‘幽灵程序’,很好用。
  • SE加壳工具

    2015-07-06 23:01:13
    SE加壳工具
  • 双重SE加壳工具

    2018-05-11 11:29:42
    是一个非常好用的加壳软件,利于防破解,加密数据段!6666666666666666666666666666666666666666666666666666666666
  • 好用的加壳工具

    2011-12-05 18:54:25
    Shielden有2种工作模式: 完整模式提供完整的Safengine产品体验(如反调试、授权功能等)。 虚拟机模式则以体积和速度优先,提供代码虚拟化等关键保护功能。 您可以运行Shielden.exe启动完整模式,或运行Shielden...
  • PE加壳工具源码

    2017-05-26 21:42:35
    添加新的区段、修改OEP、加密源代码、添加密码验证窗口、简单反调试。
  • 软件加壳工具windows

    2009-06-27 15:21:03
    个人收藏,可以定做软件。直接将程序打成exe格式的程序包
  • ASProtect 压缩加壳工具

    2009-01-12 11:29:27
    ASProtect ASProtect ASProtect ASProtect
  • 加壳工具对比

    2020-03-05 18:06:21
    哪个最难脱,哪个最难破? 哪个破解平均耗时最久? 最贵的DNGuard,企业版5k+,走遍天下无敌手? 多选投票: ( 最多可选 3 项 ), 共有 119 人参与投票 ... 1. DNGuard 企业版 3.72 ... 2.... 3....
    哪个最难脱,哪个最难破?
    哪个破解平均耗时最久?


    最贵的DNGuard,企业版5k+,走遍天下无敌手?

    多选投票: ( 最多可选 3 项 ), 共有 119 人参与投票

    投票已经结束

    1.  DNGuard 企业版 3.72  
      51.09% (70)
    2.  .NET Reactor 5.0  
      22.63% (31)
    3.  Themida  
      8.03% (11)
    4.  欢迎补充  
      10.95% (15)
    5.  MaxtoCode  
      2.19% (3)
    6.  Safengine Protector  
      5.11% (7)
    展开全文
  • VMP 加壳工具v3.3.1

    2020-04-09 17:08:21
    VMProtect 是一款高级版的程序加壳工具,可以有效地保护你的应用程序不被反编译,说明白点就是一个加壳工具,加壳后的应用程序体积变得更小,而且更加安全。

空空如也

1 2 3 4 5 ... 20
收藏数 3,492
精华内容 1,396
关键字:

加壳工具