去壳的步骤 六

去壳的步骤 六

ID:41170681

大小:30.74 KB

页数:33页

时间:2019-08-18

去壳的步骤 六_第1页
去壳的步骤 六_第2页
去壳的步骤 六_第3页
去壳的步骤 六_第4页
去壳的步骤 六_第5页
资源描述:

《去壳的步骤 六》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、去壳的步骤六如何将EXE安装文件脱壳和破解--之解决办法步骤1检测壳壳的概念:所谓“壳”就是专门压缩的工具。这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。壳的作用:1.保护程序不被非法修改和反编译。2.对程序专门进行压缩,以减小文件大小,方便传播和储存。壳和压缩软件的压缩的区别是压缩软件只能够压缩程序

2、而经过壳压缩后的exe、com和dll等程序文件可以跟正常的程序一样运行下面来介绍一个检测壳的软件PEIDv0.92这个软件可以检测出450种壳新版中增加病毒扫描功能,是目前各类查壳工具中,性能最强的。另外还可识别出EXE文件是用什么语言编写的VC++、Delphi、VB或Delphi等。支持文件夹批量扫描我们用PEID对easymail.exe进行扫描找到壳的类型了UPX0.89.6-1.02/1.05-1.24->Markus&Laszlo说明是UPX的壳下面进行步骤2脱壳对一个加了壳的程序,去除其中无关的干扰信息和保护限制,把他的壳脱去,解除伪装,

3、还原软件本来的面目。这个过程就叫做脱壳。脱壳成功的标志脱壳后的文件正常运行,功能没有损耗。还有一般脱壳后的文件长度都会大于原文件的长度。即使同一个文件,采用不同的脱壳软件进行脱壳,由于脱壳软件的机理不通,脱出来的文件大小也不尽相同。关于脱壳有手动脱壳和自动脱壳自动脱壳就是用专门的脱壳机脱很简单按几下就OK了手动脱壳相对自动脱壳需要的技术含量微高这里不多说了UPX是一种很老而且强大的壳不过它的脱壳机随处就能找到UPX本身程序就可以通过UPX文件名-d来解压缩不过这些需要的命令符中输入优点方便快捷缺点DOS界面为了让大家省去麻烦的操作就产生了一种叫UPXSHELL的外壳软

4、件UPXSHELLv3.09UPX外壳程序!目的让UPX的脱壳加壳傻瓜化注:如果程序没有加壳那么我们就可以省去第二步的脱壳了,直接对软件进行分析了。脱完后我们进行步骤3运行程序尝试注册获取注册相关信息通过尝试注册我们发现一个关键的字符串“序列号输入错误”步骤4反汇编反汇编一般用到的软件都是W32DasmW32dasm对于新手易于上手操作简单W32Dasm有很多版本这里我推荐使用W32Dasm无极版我们现在反汇编WebEasyMail的程序文件easymail.exe然后看看能不能找到刚才的字符串步骤5通过eXeScope这个软件来查看未能在w32dasm中正确显示的字

5、符串信息eXeScopev6.50更改字体,更改菜单,更改对话框的排列,重写可执行文件的资源,包括(EXE,DLL,OCX)等。是方便强大的汉化工具,可以直接修改用VC++及DELPHI编制的程序的资源,包括菜单、对话框、字符串表等新版可以直接查看加壳文件的资源我们打开eXeScope找到如下字串符122,"序列号输入错误"123,"恭喜您成为WebEasyMail正式用户中的一员!"124,注册成功125,失败重点是122步骤6再次返回w32dasm*PossibleReferencetoStringResourceID=00

6、122:"?鲹e?"但是双击后提示说找不到这个字串符不是没有是因为"?鲹e?"是乱码w32dasm对于中文显示不是太好毕竟不是国产软件先把今天会用到的汇编基本指令跟大家解释一下mova,b;把b的值赋给a,使a=bcall:调用子程序,子程序以ret结为ret:返回主程序je或jz:若相等则跳转jne或jnz:若不相等则跳转pushxx:xx压栈popxx:xx出栈栈,就是那些由编译器在需要的时候分配,在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等。我们搜索PossibleReferencetoStr

7、ingResourceID=00122因为对E文支持很好我们来到了*Referencedbya(U)nconditionalor(C)onditionalJumpatAddress:

8、:00406F17(C)//跳转来自406F17

9、*PossibleReferencetoStringResourceID=00125:"1%"

10、:004070DD6A7Dpush0000007D:004070DF8D4C2410leaecx,dwordptr[esp+10]:004070E3E8F75A1200call0052CBDF*Possib

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。