申请会员ID:把夜熬熟【冒充他人作品申请】
申请会员ID:把夜熬熟邮箱:2224508681@qq.com
原创技术文章
脱壳1壳是怎么装载的?
壳自从加到程序上以后就连在一起了,即对程序进行保护,防止被修改,也就是壳把程序给包裹起来了,而且原程序的数据也被压缩了。
装载的时候通常是先执行壳后再跳到真正的原程序OEP(程序入口点),这时开始运行原先没加壳的程序。运行顺序:执行带壳文件——执行壳——执行到程序入口点——运行未加壳的程序。2 壳的分类
壳出于程序作者想对程序资源压缩、注册保护的目的,壳一般分为压缩壳和加密壳两类。
压缩壳:一般只对文件进行压缩处理,既压缩区段和一些资源压缩,以减少文件体积为目的如:ASPack、UPX、PECompact等
加密壳:跟压缩壳正好相反,一般是牺牲减少体积为代价,对文件进行加密处理,用上各种反跟踪技术保护程序不被调试、脱壳,如:ASProtect、Armadillo、EXECryptor等
但随着加壳技术的发展,这两类壳之间的界限越来越模糊,很多加壳软件既有压缩功能也有保护性能,而且现在很多加密壳达到壳中带肉,肉中带壳的地步了。 3 OEP (程序入口点)
OEP:Original Entry Point ,程序加壳前真正的入口点。 4 脱壳的基本步骤
查壳--->寻找OEP--->脱壳-->修复常用脱壳方法1 单步跟踪法
(1)用OD载入,点“不分析代码”
(2).单步向下跟踪F8,实现向下的跳。也就是说向上的跳不让其实现
(3)遇到程序往回跳的,我们在下一句代码处按F4
(4)绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现
(5)如果刚载入程序,在附近就有一个CALL的,我们就F7跟进去,不然程序很容易跑飞,这样很快就能到程序的OEP
(6)在跟踪的时候,如果运行到某个CALL程序就运行的,就在这个CALL中F7进入
(7)一般有很大的跳转
2 ESP定律法
(1)开始就点F8,注意观察OD右上角的寄存器中ESP有没变色
(2)在命令行下:dd XXXXXXXX,按回车
(3)选中下断的地址,断点--->硬件访--->WORD断点
(4)按一下F9运行程序,直接来到了跳转处,按下F8,到达程序OEP 3内存镜像法
(1)用OD打开软件
(2)点击选项——调试选项——异常,把里面的忽略全部√上。CTRL+F2重载下程序
(3)按ALT+M,打开内存镜象,找到程序的第一个.rsrc.按F2下断点,然后按SHIFT+F9运行到断点,接着再按ALT+M,打开内存镜象,找到程序的第一个.rsrc.上面的.CODE,按F2下断点。然后按SHIFT+F9,直接到达程序OEP 4 一步到达OEP
(1)开始按Ctrl+F,输入:popad,然后按下F2,F9运行到此处
(2)来到大跳转处,点下F8,到达OEP
但只适合少数壳5 最后一次异常法
(1)用OD打开软件
(2)点击选项——调试选项——异常,把里面的√全部去掉!CTRL+F2重载下程序
(3)一开始程序就是一个跳转,在这里我们按SHIFT+F9,直到程序运行,记下从开始按SHIFT+F9到程序运行的次数m
(4)CTRL+F2重载程序,按SHIFT+F9
(5)在OD的右下角我们看见有一个"SE 句柄",这时我们按CTRL+G,输入SE 句柄前的地址
(6)按F2下断点,然后按SHIFT+F9来到断点处
(7)去掉断点,按F8慢慢向下走
(8)到达程序的OEP 6 模拟跟踪法
(1)先试运行,跟踪一下程序,看有没有SEH暗桩之类
(2)ALT+M打开内存镜像,找到
(3)若地址为00xxxxxx在命令行下输入tc eip<00xxxxxx,回车,提示正在跟踪7 SFX法
(1)设置OD,忽略所有异常,也就是说异常选项卡里面都打上勾
(2)切换到SFX选项卡,选择“字节模式跟踪实际入口,确定
(3)重载程序
另外附一下加密样本特征
libnqshield.so/国信灵通libvenSec.so/启明星辰libmobisec.so/阿里聚安全libvenustech.so/启明星辰libtup.so/腾讯乐固(旧版)libchaosvmp.so/娜迦加固liblegudb.so/腾讯乐固(旧版)libddog.so/娜迦加固libshella/腾讯乐固(旧版)libfdog.so/娜迦加固libshel1x/腾讯乐固(日版)libedog.so/娜迦加固(企业版)mix.dex/腾讯乐固(旧版)libexec.so/爱加密mixz.dex/腾讯乐固(旧版)libexecmain.so/爱加密libshell-super.2019.so/腾讯云移动应用安全(腾讯御安全)ijiami.dat/爱加密libBugly-yaq.so/腾讯云移动应用安全(腾讯御安全)ijiami.ajm/爱加密libzBugly-yaq.so/腾讯云移动应用安全(腾讯御安全)libsecexe.so/梆梆安全tosversion/腾讯云移动应用安全(腾讯御安全)libsecmain.so/梆梆安全libshellx-super.2019.so/腾讯云移动应用安全(腾讯御安全)libSecShel1.so/梆梆安全tosprotection/腾讯云移动应用安全(腾讯御安全)1ibDexHelper.so/梆梆安全(企业版)000000111111.dex/腾讯云移动应用安全(腾讯御安全)libDexHelper-x86.so/梆梆安全(企业版)000000111111.dex/腾讯云移动应用安全(腾讯御安全).appkey/360加固000000011111.dex/腾讯云移动应用安全(腾讯御安全)libprotectClass.so/360加固00000o11111.dex/腾讯云移动应用安全(腾讯御安全)libjiagu.so/360加固000001111111/腾讯云移动应用安全(腾讯御安全)libjiagu_ls.so/360加固o0ooo000oo0o.dat/腾讯云移动应用安全(腾讯御安全)libjiagu_x86.so/360加固t86/腾讯云移动应用安全(腾讯御安全)libjiagu_a64.so/360加固libtosprotection.x86.so/腾讯云移动应用安全(腾讯御安全)libjiagu_x64.so/360加固libtosprotection.armeabi.so/腾讯云移动应用安全(腾讯御安全)libjiagu_art.so/360加固libtosprotection.armeabi-v7a.so/腾讯云移动应用安全(腾讯御安全)1ibjgdtc.so/360加固libnesec.so/网易易盾libjgdtc_x86.so/360加固libAPKProtect.so/APKProtectlibjgdtc_a64.so/360加固libkwscmm.so/几维安全libjgdtc_x64.so/360加固libkwscr.so/几维安全libjgdtc_art.so/360加固libkwslinker.so/几维安全libegis.so/通付盾libx3g.so/顶像科技libNSaferOnly.so/通付盾libuusafe.jar.so/UU安全libapssec.so/盛大加固libuusafe.so/UU安全librsprotect.so/瑞星加固libuusafeempty.so/UU安全libitsec.so/海云安加固mogosec_classes/中国移动加固libnqshield.so/网秦加固mogosec_data/中国移动加固libbaiduprotect.so/百度加固mogosec_dexinfo/中国移动加固libbaiduprotect_x86.so/百度加固mogosec_march/中国移动加固libbaiduprotect_art.so/百度加固libcmvmp.so/中国移动加固baiduprotect1.jar/百度加固libmogosec_dex.so/中国移动加固aliprotect.dat/阿里聚安全libmogosec_sodecrypt.so/中国移动加固libsgmain.so/阿里聚安全ibmogosecurity.so/中国移动加固libfakejni.so/阿里聚安全libreincp.so/珊瑚灵御libzuma.so/阿里聚安全libreincp_x86.so/珊瑚灵御libzumadata.so/阿里聚安全jiagu_data.bin/apktoolpluslibpreverify1.so/阿重聚安全sign.bin/apktoolpluslibdemolishdata.so/阿重聚安全libapktoolplus_jiagu.so/apktoolpluslibdemolish.so/阿里聚安全libsgsecuritybody.so/阿重聚安全 你这从哪复制的内容冒充原创,一会windows一会安卓?
页:
[1]