请选择 进入手机版 | 继续访问电脑版

挂坊论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 39|回复: 0

[其他破解] 易语言逆向破解基础知识之认识壳与程序的特征

[复制链接]

58

主题

60

帖子

159

积分

初级会员

Rank: 3Rank: 3

积分
159
发表于 2020-5-6 12:45:17 | 显示全部楼层 |阅读模式
本帖最后由 shuncool 于 2020-5-6 12:56 编辑

逆向破解基础知识之认识壳与程序的特征

问题
   . 程序是什么语言编写的?
   . 程序到底有没有加壳?
   . 程序加了什么壳?

关于程序是什么语言编写的:

从目前国内接触到程序看,比较流行的编译器有:VC系列、易语言、.NET、Delphi,一些曾经用的很多但渐渐少了有:VB、ASM、BC++,还有一些用的比较少的有:AutoIt、PB、QT等。

一、VC6编译无壳程序

==OllyDbg查看入口代码==:



==PEID查看区段如下==:



VC6特点:
入口点代码是固定的代码,入口调用的API也是相同的,其中有的push地址不同程序可能不同;区段有四个也是固定的.text、.rdata、.data和.rsrc。

二、VS2008和VS2013编译无壳程序
==OllyDbg查看入口代码==:






==PEID查看区段如下==:



VS特点:入口点只有两行代码,一个CALL后直接JMP,第一个CALL进去后调用的API也是相同的;区段相对于VC6多了一个.reloc。

三、易语言编译无壳程序(独立编译&非独立编译)

由于易语言独立编译是调用VC的链接程序编译的,所以从区段和入口代码特征和VC相同,下图为非独立编译带运行库.

==OllyDbg查看入口代码==:



==查看模块==:


==查看核心代码==:



易语言特点:可以从程序里找一些call的调用最终都会走到上面核心代码图位置(文字不太好表达),这个方法可以区分和VC的区别,非独立编译比较容易识别,入口特征和模块特征都有krnln.fnr。

关于如何识别加壳

1、通过PEiD、Exeinfo PE等查壳工具内置各种壳的十六进制特征码进行对比查壳。

==优缺点==:

PEiD、FFI、FastScanner、RDG Packer Detector这类程序都是通过目录下的userdb.txt(查壳程序不同可能数据库名有出入)数据库进行加壳程序特征对比的,由于userdb.txt文件都是好多年前的了,全球基本都在用fly在09年发布的UpKPEiDSign,即使有新的也都基于他制作的版本之上进行更新的,而且更新都没有太好效果。
由于原理都是通过加壳程序的特征进行对应,而这些加壳特征都是个人总结而来,对加壳程序的模糊搜索对比造成可靠性不高,特别是对于VMProtect这类加密壳程序,经常被识别成一些算七八糟都没见过的加壳内容,特别是显示UPolyX,基本都是误报,对新手的误导很严重,但对于传统的一些压缩壳的识别效果还是很好的,当然了,有利有弊,正是由于它的开放性特征库,也方便给大家提供自己编写特征的方法,来识别一些新的壳,期待大家能做出自己的加壳特征来。



Exeinfo PE属于新一代查壳工具,作者目前还在更新,它和PEiD的区别可能就在于它的特征库是作者自己维护,不支持外部修改,新版好像也开始支持外部特征库了,这款查壳工具的加壳特征库比较准确而且范围很广,如ThemIDA、WinLicense、VMProtect、ZProtect、Shielden都可以轻松识别出来,但对于具体加壳程序的版本都是模糊的,其实个人认为加壳版本真的不重要,这个后面再具体说道,Exeinfo PE可以说是目前可以说最好的查壳工具了,推荐大家使用。



2、通过入口特征和区段特征来识别

区段信息可以通过PEiD的EP处点击获取到,比如下图的区段信息中可以轻松看出,这是一款Themida或者WinLicense的加壳程序。



入口特征可以通过OllyDBG载入获得,载入后可以按一下“Ctrl+A”,让OD分析一下代码,就可以把入口点一些特征字符串分析出来,从下图的入口信息可以轻松看出,这是一款Safengine加壳的程序,对于Shielden、Safengine、VProtect这类加壳程序都可以使用这种方法判断出来。



关于程序加的是什么壳


windows程序状态大体可以分为以下几种类型:未加壳、压缩壳、传统加密壳、代码虚拟化保护、.Net程序加密。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
挂坊论坛交流群                           赚坊币                   开通VIP免坊币                   咨询请教
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|挂坊论坛 ( 苏ICP备20001813号 )

GMT+8, 2020-7-12 02:10 , Processed in 0.093750 second(s), 30 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表