论壳与加壳技术
2007-01-14 16:44:39 来源:WEB开发网核心提示:在这外壳程序风起云涌的几年间,出现了无数优秀的外壳,论壳与加壳技术,CoDe_inJect曾谈过对几种流行壳的看法,我斗胆结合他的言论描述一下现在常见的保护外壳:ASProtect无可争议的外壳界老大,可惜的是由于作者对RSA的错误理解,使破解者可以做出注册机,它开创了壳的新时代,SEH与各种流行反跟踪技术、多态变形引
在这外壳程序风起云涌的几年间,出现了无数优秀的外壳,CoDe_inJect曾谈过对几种流行壳的看法,我斗胆结合他的言论描述一下现在常见的保护外壳:
ASProtect
无可争议的外壳界老大,它开创了壳的新时代,SEH与各种流行反跟踪技术、多态变形引擎的使用(准确来说是从病毒中借用)、BPM断点清除等都出自于此;更为有名的当属RSA算法的使用,使得DEMO版无法被破解成完整版;CodeDips也源于这里;输入表处理即使现在看来仍很强劲。开发壳应该学习它各种算法的熟练运用,而它最失败之处就是反跟踪过于温柔,令破解者轻松研究。
tELock
大名鼎鼎的一款免费的保护软件,具有较强的反跟踪能力,用SEH控制DRx结合内存校验封杀了BPM断点和SuperBPM等工具。并有BPE32变形引擎产生很多异常代码干扰跟踪。输入表的修复让人头痛了好一阵子,于此形成讽刺意味的是,输入表在重定向之前会在内存中以完整的形态出现。值得一提的是heXer花费了数月零散时间,将它逆向并做出了一个加强版,称之为tELockX。
PELock
PELock应该是很多壳的综合,输入表处理、RSA算法、反跟踪、清除断点、SHE都用到了,而且是第一个可以在Win98下检测出IceDump的壳。在这个壳中第一次使用了清除代码、加密代码、锁定代码,使被加密的程序更难转储。
DBPE
这个壳在国内如日中天,奥妙在于哪里?就在于反跟踪做得比较完善,它是很早使用驱动的壳,虽然驱动的运用仅仅是为了在WinNT下切到Ring-0,但开创了壳使用驱动的先例。输入表处理一般,修改了中断向量并使用其进行解码,一些版本中有MMXE变形引擎使跟踪起来眼花缭乱。可惜的是由于作者对RSA的错误理解,使破解者可以做出注册机,且即使不注册也可以脱壳。
更多精彩
赞助商链接