大家好,今天来为大家解答脱壳软件这个问题的一些问题点,包括软件脱壳是什么意思也一样很多人还不知道,因此呢,今天就来为大家分析分析,现在让我们一起来看看吧!如果解决了您的问题,还望您关注下本站哦,谢谢~
软件脱壳是什么意思
问题一:软件脱壳是什么意思制作的软件为了保护源码或者避免被杀软查杀,要给软件加壳,脱壳就是去掉软件的保护层
问题二:给软件脱壳是什么意思?怎么给软件脱壳?如题谢谢了对软件加壳的逆操作,把软件上存在的壳去掉。在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样,其实都是命名上的方法罢了。要给软件脱壳可以选万能脱壳机,万能脱壳机采用的是ap0x编写的脱壳引擎,目前支持ASPack2.12,FsG2.x,UPX1.x-2.x的壳你可以到霏凡网站上搜一下还有很多看你需要哪一种了
问题三:软件如何脱壳,用什么软件脱壳首先你要检查一下加的什么壳,要是你检测时候发现是VC++写的,那就说明没加壳,自然就不需要脱壳。用什么加的壳,先PEid查看一下,然后再去找专门的脱壳工具,一旦检测出壳的种类,就可以脱壳了。
问题四:计算机软件脱壳什么意思?就是把软件的壳去掉。
比如绿色破解版就是脱壳的哦。
破解的一种手法。
问题五:软件如何脱壳步骤1检测壳
壳的概念:
所谓“壳”就是专门压缩的工具。
这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。
壳的作用:
1.保护程序不被非法修改和反编译。
2.对程序专门进行压缩,以减小文件大小,方便传播和储存。
壳和压缩软件的压缩的区别是
压缩软件只能够压缩程序
而经过壳压缩后的exe、和dll等程序文件可以跟正常的程序一样运行
下面来介绍一个检测壳的软件
PEID v0.92
这个软件可以检测出 450种壳
新版中增加病毒扫描功能,是目前各类查壳工具中,性能最强的。
另外还可识别出EXE文件是用什么语言编写的VC++、Delphi、VB或Delphi等。
支持文件夹批量扫描
我们用PEID对easymail.exe进行扫描
找到壳的类型了
UPX 0.89.6- 1.02/ 1.05- 1.24-> Markus& Laszlo
说明是UPX的壳
下面进行
步骤2脱壳
对一个加了壳的程序,去除其中无关的干扰信息和保护限制,把他的壳脱去,解除伪装,还原软件本来的面目。这个过程就叫做脱壳。
脱壳成功的标志
脱壳后的文件正常运行,功能没有损耗。
还有一般脱壳后的文件长度都会大于原文件的长度。
即使同一个文件,采用不同的脱壳软件进行脱壳,由于脱壳软件的机理不通,脱出来的文件大小也不尽相同。
关于脱壳有手动脱壳和自动脱壳
自动脱壳就是用专门的脱壳机脱很简单按几下就 OK了
手动脱壳相对自动脱壳需要的技术含量微高这里不多说了
UPX是一种很老而且强大的壳不过它的脱壳机随处就能找到
UPX本身程序就可以通过
UPX文件名-d
来解压缩不过这些需要的命令符中输入
优点方便快捷缺点DOS界面
为了让大家省去麻烦的操作就产生了一种叫 UPX SHELL的外壳软件
UPX SHELL v3.09
UPX外壳程序!
目的让UPX的脱壳加壳傻瓜化
注:如果程序没有加壳那么我们就可以省去第二步的脱壳了,直接对软件进行分析了。
脱完后我们进行
步骤3
运行程序
尝试注册
获取注册相关信息
通过尝试注册我们发现一个关键的字符串
“序列号输入错误”
步骤4
反汇编
反汇编一般用到的软件都是 W32Da***
W32da***对于新手易于上手操作简单
W32Da***有很多版本这里我推荐使用 W32Da***无极版
我们现在反汇编WebEasyMail的程序文件easymail.exe
然后看看能不能找到刚才的字符串
步骤5
通过eXeScope这个软件来查看未能在w32da***中正确显示的字符串信息
eXeScope v6.50
更改字体,更改菜单,更改对话框的排列,重写可执行文件的资源,包括(EXE,DLL,OCX)等。是方便强大的汉化工具,可以直接修改用 VC++及 DELPHI编制的程序的资源,包括菜单、对话框、字符串表等
新版可以直接查看加壳文件的资源
我们打开eXeScope
找到如下字串符
122,序列号输入错误
123,恭喜......>>
问题六:软件脱壳工具有哪些 10分常见的脱壳工具有两种:
1。OD自带脱壳插件
鼠标右键菜单,选择Dump debugged process->设置Entry Point->点击Dump
2.LordPE
LordPE进程列表中选择目标进程->鼠标右键菜单,选择完整脱壳;
脱壳步骤
查壳
使用PEID, PE-SCAN等查壳工具查壳
查找OEP
使用OllyDbg跟踪调试找到OEP
脱壳
右键使用OLLYDBG自带的脱壳插件
修复
脱下的程序如果不能执行,使用Import ReConstructor工具修复
问题七:脱壳一个软件之后能对它干嘛?脱壳一个软件之后应该不能看到它的源代码,但是通过有些工具可以对它进行有限的修改。
软件如何脱壳
步骤1检测壳
壳的概念:
所谓“壳”就是专门压缩的工具。
这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。
壳的作用:
1.保护程序不被非法修改和反编译。
2.对程序专门进行压缩,以减小文件大小,方便传播和储存。
壳和压缩软件的压缩的区别是
压缩软件只能够压缩程序
而经过壳压缩后的exe、com和dll等程序文件可以跟正常的程序一样运行
下面来介绍一个检测壳的软件
PEIDv0.92
这个软件可以检测出450种壳
新版中增加病毒扫描功能,是目前各类查壳工具中,性能最强的。
另外还可识别出EXE文件是用什么语言编写的VC、Delphi、VB或Delphi等。
支持文件夹批量扫描
我们用PEID对easymail.exe进行扫描
找到壳的类型了
UPX0.89.6-1.02/1.05-1.24->Markus&Laszlo
说明是UPX的壳
下面进行
步骤2脱壳
对一个加了壳的程序,去除其中无关的干扰信息和保护限制,把他的壳脱去,解除伪装,还原软件本来的面目。这个过程就叫做脱壳。
脱壳成功的标志
脱壳后的文件正常运行,功能没有损耗。
还有一般脱壳后的文件长度都会大于原文件的长度。
即使同一个文件,采用不同的脱壳软件进行脱壳,由于脱壳软件的机理不通,脱出来的文件大小也不尽相同。
关于脱壳有手动脱壳和自动脱壳
自动脱壳就是用专门的脱壳机脱很简单按几下就OK了
手动脱壳相对自动脱壳需要的技术含量微高这里不多说了
UPX是一种很老而且强大的壳不过它的脱壳机随处就能找到
UPX本身程序就可以通过
UPX文件名-d
来解压缩不过这些需要的命令符中输入
优点方便快捷缺点DOS界面
为了让大家省去麻烦的操作就产生了一种叫UPXSHELL的外壳软件
UPXSHELLv3.09
UPX外壳程序!
目的让UPX的脱壳加壳傻瓜化
注:如果程序没有加壳那么我们就可以省去第二步的脱壳了,直接对软件进行分析了。
脱完后我们进行
步骤3
运行程序
尝试注册
获取注册相关信息
通过尝试注册我们发现一个关键的字符串
“序列号输入错误”
步骤4
反汇编
反汇编一般用到的软件都是W32Dasm
W32dasm对于新手易于上手操作简单
W32Dasm有很多版本这里我推荐使用W32Dasm无极版
我们现在反汇编WebEasyMail的程序文件easymail.exe
然后看看能不能找到刚才的字符串
步骤5
通过eXeScope这个软件来查看未能在w32dasm中正确显示的字符串信息
eXeScopev6.50
更改字体,更改菜单,更改对话框的排列,重写可执行文件的资源,包括(EXE,DLL,OCX)等。是方便强大的汉化工具,可以直接修改用VC及DELPHI编制的程序的资源,包括菜单、对话框、字符串表等
新版可以直接查看加壳文件的资源
我们打开eXeScope
找到如下字串符
122,"序列号输入错误"
123,"恭喜您成为WebEasyMail正式用户中的一员!"
124,注册成功
125,失败
重点是122
步骤6
再次返回w32dasm
*PossibleReferencetoStringResourceID=00122:"?_e?"
但是双击后
提示说找不到这个字串符
不是没有是因为"?_e?"是乱码w32dasm对于中文显示不是太好
毕竟不是国产软件
先把今天会用到的汇编基本指令跟大家解释一下
mova,b;把b的值赋给a,使a=b
call:调用子程序,子程序以ret结为
ret:返回主程序
je或jz:若相等则跳转
jne或jnz:若不相等则跳转
pushxx:xx压栈
popxx:xx出栈
栈,就是那些由编译器在需要的时候分配,在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等。
我们搜索
PossibleReferencetoStringResourceID=00122
因为对E文支持很好
我们来到了
*Referencedbya(U)or(C)onditionalJumpatAddress:
|:00406F17(C)//跳转来自406F17
|
*PossibleReferencetoStringResourceID=00125:"1%"
|
004070DD6A7Dpush0000007D
004070DF8D4C2410leaecx,dwordptr[esp10]
004070E3E8F75A1200call0052CBDF
*PossibleReferencetoStringResourceID=00122:"?_e?"
|
004070E86A7Apush0000007A
004070EA8D4C2408leaecx,dwordptr[esp08]
004070EEE8EC5A1200call0052CBDF
我们来到
00406F01moveax,dwordptr[edi0000086C]这里是对
00406F078B4C2408movecx,dwordptr[esp08]
00406F0B50pusheax//这两个eax和ecx入栈就比较让我们怀疑了
00406F0C51pushecx//产生注册码
00406F0DE8AE381100call0051A7C0//这CALL里对注册位应该会有设置
00406F1283C40Caddesp,0000000C
00406F1585C0testeax,eax//检测注册位
00406F17jne004070DD//不存在注册位就会跳到4070DD就会出现那个错误的字串符了
我们记住406F01这个地址
接着进行下一步
步骤7
这一步我们进行的是调试
用到的软件是ollydbg
好了我们找到了注册码0012AF0400FD4A10ASCII""
但是这个并不是我们的主要目的
我们还要做出属于自己的注册机
相信这个是很多人梦寐以求的事情
步骤8
制作注册机
注册机我们需要的是一个KEYMAKE的软件
因为2.0是演示版而且停止更新了
所以我们用1.73版
做一个内存注册机需要下面几个资料
中断地址:406F0C
中断次数:1
第一字节:51
指令长度:1
好了一个完美的注册机就产生了
还不赶快发给你的朋友炫耀一下
保证让他迷糊死佩服得你要死
其实最后还有几个步骤
就是撰写破文
不过大家都是新手这个步骤就去了吧
不知不觉说了这么多废话希望能对大家有些作用
怎么让软件脱壳
首先大家应该先明白“壳”的概念。在自然界中,大家对壳这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样,其实都是命名上的方法罢了。
最早提出“壳”这个概念的,据我所知,应该是当年推出脱壳软件 RCOPY 3的作者熊焰先生。在几年前的 DOS时代,“壳”一般都是指磁盘加密软件的段加密程序,可能是那时侯的加密软件还刚起步不久吧,所以大多数的加密软件(加壳软件)所生成的“成品”在“壳”和需要加密的程序之间总有一条比较明显的“分界线”。有经验的人可以在跟踪软件的运行以后找出这条分界线来,至于这样有什么用这个问题,就不用我多说了。但毕竟在当时,甚至现在这样的人也不是很多,所以当 RCOPY3这个可以很容易就找出“分界线”,并可以方便的去掉“壳”的软件推出以后,立即就受到了很多人的注意。老实说,这个我当年在《电脑》杂志看到广告,在广州电脑城看到标着999元的软件,在当时来说,的确是有很多全新的构思,单内存生成 EXE可执行文件这项,就应该是世界首创了。但它的思路在程序的表现上我认为还有很多可以改进的地方(虽然后来出现了可以加强其功力的 RO97),这个想法也在后来和作者的面谈中得到了证实。在这以后,同类型的软件想雨后春笋一般冒出来,记得住名字的就有: UNKEY、MSCOPY、UNALL....等等,但很多的软件都把磁盘解密当成了主攻方向,忽略了其它方面,当然这也为以后的“密界克星”“解密机器”等软件打下了基础,这另外的分支就不多祥谈了,相信机龄大一点的朋友都应该看过当时的广告了。
解密(脱壳)技术的进步促进、推动了当时的加密(加壳)技术的发展。LOCK95和 BITLOK等所谓的“壳中带籽”加密程序纷纷出笼,真是各出奇谋,把小小的软盘也折腾的够辛苦的了。正在国内的加壳软件和脱壳软件较量得正火红的时候,国外的“壳”类软件早已经发展到像 LZEXE之类的压缩壳了。这类软件说穿了其实就是一个标准的加壳软件,它把 EXE文件压缩了以后,再在文件上加上一层在软件被执行的时候自动把文件解压缩的“壳”来达到压缩 EXE文件的目的。接着,这类软件也越来越多, PKEXE、AINEXE、UCEXE和后来被很多人认识的 WWPACK都属于这类软件,但奇怪的是,当时我看不到一个国产的同类软件。
过了一段时间,可能是国外淘汰了磁盘加密转向使用软件序列号的加密方法吧,保护 EXE文件不被动态跟踪和静态反编译就显得非常重要了。所以专门实现这样功能的加壳程序便诞生了。 MESS、CRACKSTOP、HACKSTOP、TRAP、UPS等等都是比较有名气的本类软件代表,当然,还有到现在还是数一数二的,由台湾同胞所写的 FSE。其实以我的观点来看,这样的软件才能算是正宗的加壳软件。
在以上这些加壳软件的不断升级较劲中,很多软件都把比较“极端”技术用了上去,因为在这个时候 DOS已经可以说是给众高手们玩弄在股掌之间了,什么保护模式、反 SICE、逆指令等等。相对来说,在那段时间里发表的很多国外脱壳程序,根本就不能对付这么多的加壳大军,什么 UPC、TEU等等都纷纷成为必防的对象,成绩比较理想的就只有 CUP386了,反观国内,这段时间里也没了这方面的“矛盾斗争”。加壳软件门挥军直捣各处要岗重地,直到在我国遇到了 TR这个铜墙铁壁以后,才纷纷败下阵来各谋对策,但这已经是一年多以后的事情了。我常想,如果 TR能早两年“出生”的话,成就肯定比现在大得多,甚至盖过 SICE也有可能。TR发表的时候 WIN95的流行已经成为事实,DOS还有多少的空间,大家心里都清楚。但话又说回来, TR的确是个好软件,比起当年的 RCOPY3有过之而无不及,同时也证明了我们中国的 CRACK实力(虽然有点过时)。这个时候,前面提到过的 FSE凭着强劲的实力也渐渐的浮出了水面,独领风骚。其时已经是 1997年年底了,我也走完了学生“旅程”。工作后在CFIDO的 CRACK区认识了 Ding-Boy,不久 CRACK区关了,我从此迷上了 INTERNET,并于98年6月建起了一个专门介绍“壳”的站台: http://topage.126.com;,放上了我所收集的所有“壳”类软件。在这段时间里,各种“壳”类软件也在不段的升级换代,但都没什么太大的进展,差不多就是 TR和众加壳软件的版本数字之争而已。
1998年8月,一个名为 UNSEC(揭秘)的脱壳软件发表了,它号称可以脱掉98年8月以前发表的所有壳。我测试之后,觉得并没传闻中的那么厉害,特别是兼容性更是令我不想再碰它。 Ding-Boy给这个软件的作者提了很多建议,但寄去的 EMIAL有如泥牛入海,可能是一怒之下吧,不久 Ding-Boy的 BW(冲击波)就诞生了。这个使用内存一次定位生成 EXE文件(后来放弃了)的脱壳软件,在我的站台公开后,得到了很多朋友们的肯定。要知道,从RCOPY 3开始,绝大部分的脱壳软件都是要两次运行目标程序来确定 EXE的重定位数据的。BW的这一特点虽然有兼容性的问题,但也树立了自己的风格、特色。经过几个月的改善, BW升级到了 2.0版本,这个版本的推出可以说是 BW的转折点,因为它已经是一个成熟、稳定脱壳软件了,它可以对付当时(现在)大多数的壳,包括当时最新的 FSE 0.6等。更重要的是这个版本把选择壳的和软件“分界线”这个最令新手头疼的步骤简化到不能再简化的地步,使更多的朋友接受了它。另外,能加强 BW功力的 CI模式也是其它脱壳软件没有的东西。最近,BW发表了最新的 2.5 BETA2版本,增强了一些方面的功能,因它竟然可以脱掉号称最厉害的磁盘加密工具 LOCKKING 2.0的加密壳,因而进一步奠定了它在“脱壳界”的地位。说到最新,就不能不提 GTR、LTR、EDUMP、ADUMP、UPS、UPX、APACK这几个国外的好软件了,它们每个都有自己的特色,可以说都是当今各类“壳”中的最新代表了
文章分享到这里,希望我们关于脱壳软件的内容能够给您带来一些新的认识和思考。如果您还有其他问题,欢迎继续探索我们的网站或者与我们交流,我们将尽力为您提供满意的答案。