脱壳基础知识入门

核心提示： 2.UPX主页：http://upx.sourceforge.net/UPX是一个以命令行方式操作的可执行文件经典免费压缩程序，压缩算法自己实现，脱壳基础知识入门(6)，速度极快，压缩比极高，PEiD提供了一个扩展接口文件userdb.txt，用户可以自定义一些特征码，（开源）3.PECo

2.UPX

主页：http://upx.sourceforge.net/

UPX是一个以命令行方式操作的可执行文件经典免费压缩程序，压缩算法自己实现，速度极快，压缩比极高。（开源）

3.PECompact

主页：http://www.bitsum.com/

PECompact同样也是一款能压缩可执行文件的工具（支持EXE、DLL、SCR、OCX等文件）。相比同类软件，PECompact提供了多种压缩项目的选择，用户可以根据需要确定哪些内部资源需要压缩处理。同时，该软件还提供了加解密的插件接口功能。

4.ASProtect

主页：http://www.aspack.com/

ASProtect是一款非常强大的Windows32位保护工具，这4、5年来，其一直在更新进步。其开发者是俄国人AlexeySolodovnikov。它拥有压缩、加密、反跟踪代码、反-反汇编代码、CRC校验和花指令等保护措施。它使用Blowfish、Twofish、TEA等强劲的加密算法，还用RSA1024作为注册密钥生成器。它还通过API钩子（APIhooks，包括Importhooks（GPAhook）和Exporthooks）与加壳的程序进行通信。甚至用到了多态变形引擎（PolymorphicEngine）。反Apihook代码（Anti-ApihookCode）和BPE32的多态变形引擎（BPE32的PolymorphicEngine）。并且ASProtect为软件开发人员提供SDK，实现加密程序内外结合。

第五课文件类型分析

拿到一个壳，第一步就是用相关工具分析一下是什么壳，然后就可心中有数地跟踪分析。文件分析工具有PEID，FileInfo等。

1.PEiD

PEiD的GUI界面操作非常方便直观。它的原理是利用查特征串搜索来完成识别工作的。各种开发语言都有固定的启动代码部分，利用这点就可识别出是何种语言编编译的。同样，不同的壳也有其特征码，利用这点就可识别是被何种壳所加密。PEiD提供了一个扩展接口文件userdb.txt，用户可以自定义一些特征码，这样就可识别出新的文件类型。