欢迎来到天天文库
浏览记录
ID:20458239
大小:27.50 KB
页数:6页
时间:2018-10-13
《纵横间谁能相抗—论壳及加壳技术》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、纵横间谁能相抗—论壳与加壳技术纵横间谁能相抗—论壳与加壳技术.txt骗子太多,傻子明显不够用了。我就是在路上斩棘杀龙游江过河攀上塔顶负责吻醒你的公主。纵横间谁能相抗—论壳与加壳技术在这外壳程序风起云涌的几年间,出现了无数优秀的外壳,CoDe_inJect曾谈过对几种流行壳的看法,我斗胆结合他的言论描述一下现在常见的保护外壳:ASProtect无可争议的外壳界老大,它开创了壳的新时代,SEH与各种流行反跟踪技术、多态变形引擎的使用(准确来说是从病毒中借用)、BPM断点清除等都出自于此;更为有名的当
2、属RSA算法的使用,使得DEMO版无法被破解成完整版;CodeDips也源于这里;输入表处理即使现在看来仍很强劲。开发壳应该学习它各种算法的熟练运用,而它最失败之处就是反跟踪过于温柔,令破解者轻松研究。tELock大名鼎鼎的一款免费的保护软件,具有较强的反跟踪能力,用SEH控制DRx结合内存校验封杀了BPM断点和SuperBPM等工具。并有BPE32变形引擎产生很多异常代码干扰跟踪。输入表的修复让人头痛了好一阵子,于此形成讽刺意味的是,输入表在重定向之前会在内存中以完整的形态出现。值得一提的是h
3、eXer花费了数月零散时间,将它逆向并做出了一个加强版,称之为tELockX。PELockPELock应该是很多壳的综合,输入表处理、RSA算法、反跟踪、清除断点、SHE都用到了,而且是第一个可以在Win98下检测出IceDump的壳。在这个壳中第一次使用了清除代码、加密代码、锁定代码,使被加密的程序更难转储。DBPE这个壳在国内如日中天,奥妙在于哪里?就在于反跟踪做得比较完善,它是很早使用驱动的壳,虽然驱动的运用仅仅是为了在WinNT下切到Ring-0,但开创了壳使用驱动的先例。输入表处理一般
4、,修改了中断向量并使用其进行解码,一些版本中有MMXE变形引擎使跟踪起来眼花缭乱。可惜的是由于作者对RSA的错误理解,使破解者可以做出注册机,且即使不注册也可以脱壳。SVKP这个壳的有着深厚的背景,那就是anticracking.sk与DAEMON、EliCZ等一大批传说中的人物有着密切的关系,但是这个壳的反跟踪和输入表处理都不够理想,可能跟作者的编码能力有关吧。驱动在这个程序中使用比较熟练,一些系统上会隐藏进程使得ImportREC等工具遇到阻碍,运用了KME变形引擎使代码在堆栈中执行,跟踪起
5、来困难重重。Xtreme-Protector如它的名字一样,似乎是目前最强悍的壳,也是驱动程序使用最为熟练的壳,驱动有解码、反跟踪的作用,多线程的SMC使得程序的保护能力直线上升。令很多没有硬件调试器的破解者望而却步。Star-Force与Xtreme-Protector不相伯仲的强大外壳,它的核心是一个伪代码的解释器,大大复杂了对其的研究工作;一部分导入函数的代码是从系统库中拷贝出来并进行修改过的;一部分程序代码只有在执行时候才解密出来。保护中还大量的应用了这些手段:检测某些内存段的CRC校验
6、和,经常地将DRx清零,利用RDTSC指令来控制解码不同块的解码时刻,最后一块代码的解码甚至通过截获Int0在Ring-0中进行。不过它多用于光盘加密,在共享软件中并不多见。Armadillo当今猛壳之一,壳如其名拥有厚重的装甲,加壳方式有两种,一种是标准方式,另一种是CopyMem-II+Debug-Blocker,其标准加壳方式相对来说则容易的多。双进程方式加壳的修复着实是一件令人头疼的工作。Hying'sPE-Armor网络游戏外挂中经常会遇到的壳,许多人对其避而不谈令它蒙上了浓重的神迷色
7、彩。它拥有伪装功能,初学者常常被探测软件的信息所迷惑。DRx与校验和解码技巧非常普遍,输入表的处理比较好,会针对对不同的编译器做特殊处理,内涵仿真虚拟机系统作为SDK使得脱壳更为困难。它的一个非常老的版本源代码在看雪的新书《软件加密内幕》中公开,几乎没有什么强度,但通过其学习外壳开发非常有价值。ACProtect首次使用了一些新反跟踪技巧的壳,刚刚浮出水面的一段时间内闹得沸沸扬扬后被123112用他的妖幻调试器TRW2000结果了,有关它的一些反跟踪,fly写过一些详细介绍,这里不再赘述。经过很
8、多版本的改进,ACProtect的EmbeddedProtect和RSAProtect做得非常不错,即使不使用SDK修复起来也是非常不便的。另外fly总结了利用“ESP定律”的方法,可以减轻跟踪强度。Obsidium这个壳的特色在于支持分页加密,并且拥有强大的代码、资源充定位功能,令修复很困难。输入表的处理似乎不错,新版本不幸激发了heXer通宵的兴趣在一夜之间支离破碎。Pll621Shell山村老妖Pll621的私人工具,先于Hying的壳拥具有DumpShield功能,花指令繁多,Win98
此文档下载收益归作者所有