手工脱壳实例演示.docxVIP

[ [原创]手工脱壳实例演示 [原创]手工脱壳实例演示 适合读者：破解爱好者、程序员 前置知识：汇编语言阅读能力，基本破解工具的使用方法 手工脱壳实例演示文/图 wast 我们通常在汉化软件和解密软件的时候都需要脱壳，因为大部分的软件都有加壳。“壳”是一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。经过加壳的软件在跟踪时已无法看到其真实的十六进制代码，因此可以起到保护软件的目的。 给软件加壳的主要目的有两点：第一就是达到压缩 EXE 文件的目的，现在虽然说硬盘的容量已经很大了，但是程序“减肥”还是一个很好的节约空间的办法，还有就是方便网络传输；其二就是加密目的，有一些版权信息需要保护起来，不能让别人随意更改，如作者的姓名、软件的名称等。大部分的程序加壳是为了防止反跟踪，防止程序被人跟踪调试，防止程序算法被别人静态分析。 给软件加壳的实质，其实就是给可执行文件加上个外衣。用户执行的只是这个外壳程序，也就是当你执行这个程序的时候这个壳就会把原来的程序在内存中解开，解开后的工作就交给真正的程序了。所以，所有的工作都是在内存中进行的，而用户是无法知道程序具体是怎么样在内存中运行的。 正是出于保护自己的软件的目的，许多软件都给自己披上了一层坚固的 “壳”，使我们无法直接找到其中的资源，如果要汉化这样的软件，就必须给它脱壳，如果不给它脱壳，则无法完成汉化工作。可以这样说，如果你想汉化软件，却不会脱壳的话，那将寸步难行！所以我们很有必要了解加壳/脱壳技术。 常用加壳软件及其特点 为了加密，会用到一些软件。它们能将可执行文件压缩和对信息加密，实现“壳”的两个功能，这类软件称为加壳软件。在软件上加上的东东也就是我们讨论的“壳”了。但是有一点大家得搞明白就是加壳软件是不同于一般的Winzip、Winrar 等压缩软件的，加了壳后的文件能够直接运行，也就是加壳后还是一个可执行文件，它们的解压在内存中完成；Winzip 等软件只能是把文件解压到硬盘中，只是将压缩后的文件还原成原文件。下面这些软件就是一些常见的加壳软件： UPX：UPX 自身具备加壳、脱壳功能，大名鼎鼎的流光 4.5 就是用它加的壳，脱壳方法为：让待脱“壳”的软件（如 xx.exe）和 upx.exe 位于同一目录下，执行 Windows 开始菜单的“运行”，键入“upx -d xx.exe”即可。 Telock：Telock 功能包括防 Softice 检测、重整覆盖、Reloc 区段、ITA 重定位等，流光 4.7 用的就是 Telock 加的壳。一般我们可以直接用工具脱掉： Teunlock.exe，而且不需要重建资源表。 PECompact 压缩：它没有内置脱壳。这种压缩安全性较高，用 Unpecompact 可以脱去它的壳。Unpecompact 是傻瓜式软件，使用方法类似 AspackDie，运行后选取待脱壳的软件即可。 ASPack：ASPack 可压缩 Windows 32Bit EXE 文件与 DLL 文件，用 ASPack 压缩可执行文件一般可压到原来文件大小的 50%左右，ASPack 不内置解压缩功能，即无法用 ASPack 来给用 ASPack 压缩过的软件脱壳，简单的加壳可以用Aspackdie，CASPR 来脱壳。 Petite：具的高效保护性的压缩，不内置解压缩。可以用 PTCLIENT 这个软件进行简单的脱壳。 如何查壳 我们可以借助软件知道究竟加密软件的是什么样的壳。常用的软件有：Blast Wave 2000 v0.2.exe(D.boy 冲击 2000)FI.exe 和 Typ.exe、FileInfo，它们被用来侦测软件被加壳类型或程序入口点。通常可以快而准确地找到是哪种加壳方式。比如：FI.exe 是利用通过加壳后程序固有的一段特征代码来验证。但是有的加壳方式使用了 SMC（Self Modifying Code）技术，能让加壳后程序改变，使得一般的查壳软件查找不出来。但是这并不常用，技术实现起来有些难度。 小知识：SMC 技术简单解释：大致说来就是找一段原来的程式所没有用到的“空地”，同时这些“空地”在程序映射入内存后不能被覆盖。然后再此“空地”加入你自己的代码，这段代码就是所谓的补丁了，当程序在内存中解压完毕，使得程序跳到真正入口点前让其先跳到补丁代码处执行补丁，再回到原入口继续正常工作。高手邹丹所做的 QQ 补丁就是利用了该技术。 手工脱壳常用软件 关于脱壳，我们可以采用自动脱壳和手工脱壳两种方法。自动脱壳就是用相应的脱壳程序对加密的程序进行脱壳。一般某种压缩工具的壳，都会有相应的脱壳工具，因此只要找到较新版本的脱壳工具，一般的壳都可轻易脱去。那么你得先知道软件使用哪种加