脱壳技术ppt.pptVIP

逆向工程技术 lybliu@cuit.edu.cn, QQ （教务处?教务管理? 教师课件） 一个简单的加壳软件的例子： 加壳后： 程序运行壳代码解密得到原来的代码： 加壳程序给原程序加壳的过程： 添加一个分节； 为新分节添加代码（这个代码即为壳代码，用于解密加密后的section） 找到第一个代码节（即有executable属性的节） 将找到的代码节进行加密。 第13章　脱壳技术 壳和病毒很类似，都需要比原程序代码更早地获取控制权。壳修改了原程序的组织结构和执行流程，能够比原程序提前获得控制权，而不会影响原程序执行。 脱壳技术 脱壳技术 保存程序入口参数 加壳程序初始化是保存各个寄存器的值，外壳执行完毕后，再恢复各个寄存器的值最后再跳到原程序执行。通常使用pushad/popad,pushfd/popfd等指令来保存和恢复现场。 脱壳技术 脱壳技术 解密原始程序各个区块(section)的数据 壳出于保护原程序的目的，一般都会加密 或者压缩原程序各个区块。在程序执行时， 会由外壳程序将各个区块的数据进行解密， 以让程序正常运行。壳一般是按区块进行加 密的，那么解密时也是按照区块进行解密的 ，并且会把解密的区块数据按照区块的定义放 在合适的内存位置中。 脱壳技术 脱壳技术 IAT初始化 由于加壳时外壳程序自己构建了一个输 入表，并让PE头文件中