WEB开发网
开发学院网络安全黑客技术 脱壳基础知识入门 阅读

脱壳基础知识入门

 2007-01-14 20:15:39 来源:WEB开发网   
核心提示: 有些外壳程序为了欺骗PEiD等文件识别软件,会伪造启动代码部分,脱壳基础知识入门(7),例如将入口代码改成与VisualC++6.0所编程程序入口处类似代码,即可达到欺骗目的,其不能识别出来,识别信息中带了个问号,所以,文件识别工具所给出的结果只是个参考

有些外壳程序为了欺骗PEiD等文件识别软件,会伪造启动代码部分,例如将入口代码改成与VisualC++6.0所编程程序入口处类似代码,即可达到欺骗目的。所以,文件识别工具所给出的结果只是个参考,文件是否被加壳处理过,还得跟踪分析程序代码才可得知。可参考这个文档了解如何伪装:让侦测工具把壳识别为VC++7.0的源代码 。目前Hying的壳PE-Armor伪装能力是最强的:

PEiD分析不出类型的文件就报告是“Nothingfound*”,如出现这情况一般都是未知壳或新版的壳。

下面PEiD识别出这个软件是用Asprotect1.2x加的壳。

2.FileInfo

FileInfo(简称Fi)另一款不错的文件检测工具。Fi运行时是DOS界面,在DOS窗口中运行程序相当不便,建议采用下面的技巧:

1.用鼠标将文件拖到Fi主文件上。

2.将Fi快捷方放进Windows的SendTo文件夹里.以后要分析某文件,只需右击“发送到”功能就可打开Fi。 

FileInfo升级慢,其识别库不能自定义。而PEiD升级比较频繁,用户也可自定义特征码,因此PEiD用的比较普遍。

有时,FileInfo和PEID会报“PEWinGUI”,WinGUI就是Windows图形用户界面程序统称,表明程序可能没加壳。但不排除也有加壳的可能性,下图是一个ExeCryptor2.2x的壳,FileInfo报“*PEWinGUI*section*??”,其不能识别出来。识别信息中带了个问号,表明FI对给出的结果不是太肯定。

上一页  2 3 4 5 6 7 8 9 10  下一页

Tags:脱壳 基础知识 入门

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接