脱壳基础知识入门
2007-01-14 20:15:39 来源:WEB开发网2.UPX
主页:http://upx.sourceforge.net/
UPX是一个以命令行方式操作的可执行文件经典免费压缩程序,压缩算法自己实现,速度极快,压缩比极高。(开源)
3.PECompact
主页:http://www.bitsum.com/
PECompact同样也是一款能压缩可执行文件的工具(支持EXE、DLL、SCR、OCX等文件)。相比同类软件,PECompact提供了多种压缩项目的选择,用户可以根据需要确定哪些内部资源需要压缩处理。同时,该软件还提供了加解密的插件接口功能。
4.ASProtect
主页:http://www.aspack.com/
ASProtect是一款非常强大的Windows32位保护工具,这4、5年来,其一直在更新进步。其开发者是俄国人AlexeySolodovnikov。它拥有压缩、加密、反跟踪代码、反-反汇编代码、CRC校验和花指令等保护措施。它使用Blowfish、Twofish、TEA等强劲的加密算法,还用RSA1024作为注册密钥生成器。它还通过API钩子(APIhooks,包括Importhooks(GPAhook)和Exporthooks)与加壳的程序进行通信。甚至用到了多态变形引擎(PolymorphicEngine)。反Apihook代码(Anti-ApihookCode)和BPE32的多态变形引擎(BPE32的PolymorphicEngine)。并且ASProtect为软件开发人员提供SDK,实现加密程序内外结合。
第五课文件类型分析
拿到一个壳,第一步就是用相关工具分析一下是什么壳,然后就可心中有数地跟踪分析。文件分析工具有PEID,FileInfo等。
1.PEiD
PEiD的GUI界面操作非常方便直观。它的原理是利用查特征串搜索来完成识别工作的。各种开发语言都有固定的启动代码部分,利用这点就可识别出是何种语言编编译的。同样,不同的壳也有其特征码,利用这点就可识别是被何种壳所加密。PEiD提供了一个扩展接口文件userdb.txt,用户可以自定义一些特征码,这样就可识别出新的文件类型。
更多精彩
赞助商链接