脱壳基础知识入门.docVIP

　　脱壳基础知识入门～教育资源库 　　现在加解密发展己形成2个分支了，一个就是传统的算法，另一个就是加密壳。越来越多的软件采用了密码学相关算法，现在要做出一个软件注册机己不象前几年那么容易，这就要求解密者必须要有一定的数学功底和密码学知识，而这些在短时间内是不容易掌握的。除了密码学的应用，越来越多的软件加壳了，因此要求解密者必须掌握一些脱壳技术，这就使得壳成了解密必须迈过的一个门槛。壳发展到今天，强度越来越高了，将许多人挡在门外，使得大家望壳兴叹。另外，论坛现在两极分化比较严重，高手讨论的脱壳技术新手看不懂，很多人想学脱壳，但看到壳这么难，只好放弃了，造成新手与高手间一个断档，为了鼓励更多新人加入脱壳的行列，很有必要将壳有关知识总结一下。.pediy.主页提供的教学确实有点过时了，己到非更新不可了。为此，整理这篇脱壳入门指导的文章，方便脱壳新手们学习。相对于密码学算法，脱壳并不难，只要肯花时间，短期内还是比较容易取得成绩的。 　　但是，不建议那些加解密刚入门，调试一个普通软件都费劲的朋友来脱壳。至少要等你有一定的调试技能再来学脱壳。也就是说必须掌握这篇文章所讲的东西： 第一课PE格式 　　要想学脱壳，第一步就得掌握PE格式，PE是PortableExecutableFileFormat（可移植的执行体）简写，它是目前UM_SUPPORTED_EXTENSION]; /*2CC*/}CONTEXT;　　第三课认识壳 　　1.什么是壳？ 　　在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，就把这样的程序称为壳了。 　　描述壳的示意图： 　　 　　2.壳的加载过程 　　这里谈的加壳工具不是WinZIP、WinRAR等数据压缩工具，而是谈压缩可执行文件EXE或DLL的工具。加壳过的EXE文件是可执行文件，它可以同正常的EXE文件一样执行。用户执行的实际上是外壳程序，这个外壳程序负责把用户原来的程序在内存中解压缩，并把控制权交还给解开后的真正程序，这一切工作都是在内存中运行的，整个过程对用户是透明的。 　　壳和病毒在某些方面比较类似，都需要比原程序代码更早的获得控制权。壳修改了原程序的执行文件的组织结构，从而能够比原程序的代码提前获得控制权，并且不会影响原程序的正常运行。 　　这里简单说说一般壳的装载过程。（参考了Ljtt以前写过的一篇文章） 　　1）获取壳自己所需要使用的API地址 　　如果用PE编辑工具查看加壳后的文件，会发现未加壳的文件和加壳后的文件的输入表不一样，加壳后的输入表一般所引入的DLL和API函数很少，甚至只有Kernel32.dll以及GetProcAddress这个API函数。 　　壳实际上还需要其他的API函数来完成它的工作，为了隐藏这些API，它一般只在壳的代码中用显式链接方式动态加载这些API函数:3个脱壳相关的重要函数介绍　 　　2）解密原程序的各个区块(Section)的一页 友情提醒：，特别！数据 　　壳出于保护原程序代码和数据的目的，一般都会加密原程序文件的各个区块。在程序执行时外壳将会对这些区块数据解密，以让程序能正常运行。壳一般按区块加密的，那么在解密时也按区块解密，并且把解密的区块数据按照区块的定义放在合适的内存位置。 　　如果加壳时用到了压缩技术，那么在解密之前还有一道工序，当然是解压缩。这也是一些壳的特色之一，比如说原来的程序文件未加壳时1～2M大小，加壳后反而只有几百K。 　　3）重定位 　　文件执行时将被映像到指定内存地址中，这个初始内存地址称为基地址（ImageBase）。当然这只是程序文件中声明的，程序运行时能够保证系统一定满足其要求吗？ 　　对于EXE的程序文件来说，orphicEngine）。反Apihook代码（Anti-ApihookCode）和BPE32的多态变形引擎（BPE32的PolymorphicEngine）。并且ASProte 上一一页 友情提醒：，特别！ct为软件开发人员提供SDK，实现加密程序内外结合。 　　 　　第五课文件类型分析 　　拿到一个壳，第一步就是用相关工具分析一下是什么壳，然后就可心中有数地跟踪分析。文件分析工具有PEID，FileInfo等。 　　1.PEiD 　　PEiD的GUI界面操作非常方便直观。它的原理是利用查特征串搜索来完成识别工作的。各种开发语言都有固定的启动代码部分，利用这点就可识别出是何种语言编编译的。同样，不同的壳也有其特征码，利用这点就可识别是被何种壳所加