《加壳说明2》-精品课件（公开).pptVIP

此处添加公司信息 LOGO 为中华之崛起而读书 * LOGO 加壳说明2 * 此处添加公司信息 认识壳 在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样，其实都是命名上的方法罢了。 * 此处添加公司信息 认识壳 从功能上抽象，软件的壳和自然界中的壳相差无几。无非是保护、隐蔽壳内的东西。而从技术的角度出发，壳是一段执行于原始程序前的代码。原始程序的代码在加壳的过程中可能被压缩、加密……。当加壳后的文件执行时，壳－这段代码先于原始程序运行，他把压缩、加密后的代码还原成原始程序代码，然后再把执行权交还给原始代码。 软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的OEP（入口点，防止被破解）。 * 此处添加公司信息 认识壳 “壳”的概念 “加壳”，就是用专门的工具或方法，在应用程序中加入一段如同保护层的代码，使原程序代码失去本来的面目，从而防止程序被非法修改和编译。 用户在执行被加壳的程序时，实际上是先执行“外壳”程序，而由这个“外壳”程序负责把原程序在内存中解开，并把控制权交还给解开后原程序。 * 此处添加公司信息 作者编好软件后，编译成exe可执行文件。 1.有一些版权信息需要保护起来，不想让别人随便改动，如作者的姓名，即为了保护软件不被破解，通常都是采用加壳来进行保护。 2.需要把程序搞的小一点，从而方便使用。于是，需要用到一些软件，它们能将exe可执行文件压缩， 3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能，这些软件称为加壳软件。 EXE文件 加壳 运行映射到内存 壳 壳 描述壳的示意图 认识壳 * 此处添加公司信息 认识壳 加壳软件按照其加壳目的和作用，可分为两类： 一是保护，二是压缩。 1．保护程序 这是给程序加壳的主要目的，就是通过给程序加上保护层的代码，使原程序代码失去本来的面目。它的主要目的在于反跟踪，保护代码和数据，保护程序数据的完整性，防止程序被调试、脱壳等。 2．压缩程序 这应该是加壳程序的附加功能。压缩后原程序文件代码也失去了本来的面目，可以保护软件。 * 此处添加公司信息 认识壳 注意用WinZip、WinRAR等文件压缩文件，一般是不可执行的。而这里对exe压缩程序是可执行的。 壳的一般加载过程是： 1．获取壳自己所需要的API地址 2．加密原程序的各个区块的数据 3．重定位 4．HOOK-API 5．跳转到程序原入口点 * 此处添加公司信息 软件加壳工具介绍 现在用于压缩程序为主要目的的常见加壳软件有ASPacK、UPX和PECompact等，用于保护程序为主要目的的常见加壳软件有AsProtect、 tElock和幻影等。下面简单介绍一些常用的加壳软件。 1．ASPack ASPack是一款Win32高效保护性的压缩软件，文件压缩比率高达40%～70 % 。ASPack无内置解压缩，不能自解压自己压缩过的程序。 * 此处添加公司信息 软件加壳工具介绍 2．ASProtect ASProtect具有压缩、加密、反跟踪代码、反-反汇编代码、CRC校验和花指令等保护措施。它使用Blowfish 等高强度的加密算法，还用RSA 1024作为注册密钥生成器。它还通过API钩子与加壳的程序进行通信。 3．幻影（DBPE） 幻影具体功能有： （1）动态生成加密密码，对程序的代码、数据进行加密。 （2）压缩程序数据、代码。减少占用空间。 * 此处添加公司信息 软件加壳工具介绍 （3）对抗所有的反编译工具。 （4）程序有完整性校验，防止修改。 （5）对抗所有已知的内存还原工具。 如:ProcDump，PEditor等。 （6）对抗所有已知的跟踪分析工具。如: SoftICE，Trw2000，OllyDbg等。 （7）可为软件加上运行次数限制，运行天数限制，运行有效日期限制，需要注册才能解除限制。 （8）根据每台不同电脑算出不同注册码，注册码只能在本机有效。 （9）提供接口函数，可让程序查询注册状态。 * 此处添加公司信息 软件脱壳 对一个加了壳的程序，就要去除其中的无关干扰信息和保护限制，把它的壳脱去，解除伪装，还原软件的本来面目，这一过程