c 加壳软件 c 加壳
exe程序怎么加壳加了壳以后怎么打开使用
EXE程序加壳就像压缩文件一样对待EXE程序,在运行时先在内存里对这部分数据进行解密,然后在内存里运行。
当然,加壳不光是压缩这么简单,还有在解压缩时防止DEBUG软件进行调试,防止程序被修改,CRC检验等多种功能。
加了壳后,点击运行就能打开使用,和不加壳相比,可能会慢点,因为需要在内存里解密后运行的。
破解加壳是什么意思
壳,脱壳,加壳 在自然界中,我想大家对壳这东西应该都不会陌生了,由上述故事,我们也可见一斑。
自然界中植物用它来保护种子,动物用它来保护身体等等。
同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。
它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。
就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。
由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”了。
就像计算机病毒和自然界的病毒一样,其实都是命名上的方法罢了。
从功能上抽象,软件的壳和自然界中的壳相差无几。
无非是保护、隐蔽壳内的东西。
而从技术的角度出发,壳是一段执行于原始程序前的代码。
原始程序的代码在加壳的过程中可能被压缩、加密……。
当加壳后的文件执行时,壳-这段代码先于原始程序运行,他把压缩、加密后的代码还原成原始程序代码,然后再把执行权交还给原始代码。
软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类,目的都是为了隐藏程序真正的OEP(入口点,防止被破解)。
关于“壳”以及相关软件的发展历史请参阅吴先生的《一切从“壳”开始》。
(一).壳的概念 作者编好软件后,编译成exe可执行文件。
1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等,即为了保护软件不被破解,通常都是采用加壳来进行保护。
2.需要把程序搞的小一点,从而方便使用。
于是,需要用到一些软件,它们能将exe可执行文件压缩, 3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。
实现上述功能,这些软件称为加壳软件。
(二).加壳软件最常见的加壳软件ASPACK ,UPX,PEcompact 不常用的加壳软件WWPACK32;PE-PACK ;PETITE ;NEOLITE (三).侦测壳和软件所用编写语言的软件,因为脱壳之前要查他的壳的类型。
1.侦测壳的软件fileinfo.exe 简称fi.exe(侦测壳的能力极强) 2.侦测壳和软件所用编写语言的软件language.exe(两个功能合为一体,很棒) 推荐language2000中文版(专门检测加壳类型) 3.软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC) (四)脱壳软件。
软件加壳是作者写完软件后,为了保护自己的代码或维护软件产权等利益所常用到的手段。
目前有很多加壳工具,当然有盾,自然就有矛,只要我们收集全常用脱壳工具,那就不怕他加壳了。
软件脱壳有手动脱壳和自动脱壳之分,下面我们先介绍自动脱壳,因为手动脱壳需要运用汇编语言,要跟踪断点等,不适合初学者,但我们在后边将稍作介绍。
加壳一般属于软件加密,现在越来越多的软件经过压缩处理,给汉化带来许多不便,软件汉化爱好者也不得不学习掌握这种技能。
现在脱壳一般分手动和自动两种,手动就是用TRW2000、TR、SOFTICE等调试工具对付,对脱壳者有一定水平要求,涉及到很多汇编语言和软件调试方面的知识。
而自动就是用专门的脱壳工具来脱,最常用某种压缩软件都有他人写的反压缩工具对应,有些压缩工具自身能解压,如UPX;有些不提供这功能,如:ASPACK,就需要UNASPACK对付,好处是简单,缺点是版本更新了就没用了。
另外脱壳就是用专门的脱壳工具来对付,最流行的是PROCDUMP v1.62 ,可对付目前各种压缩软件的压缩档。
在这里介绍的是一些通用的方法和工具,希望对大家有帮助。
我们知道文件的加密方式,就可以使用不同的工具、不同的方法进行脱壳。
下面是我们常常会碰到的加壳方式及简单的脱壳措施,供大家参考: 脱壳的基本原则就是单步跟踪,只能往前,不能往后。
脱壳的一般流程是:查壳->寻找OEP->Dump->修复 找OEP的一般思路如下: 先看壳是加密壳还是压缩壳,压缩壳相对来说容易些,一般是没有异常,找到对应的popad后就能到入口,跳到入口的方式一般为。
我们知道文件被一些压缩加壳软件加密,下一步我们就要分析加密软件的名称、版本。
因为不同软件甚至不同版本加的壳,脱壳处理的方法都不相同。
常用脱壳工具: 1、文件分析工具(侦测壳的类型):Fi,GetTyp,peid,pe-scan, 2、OEP入口查找工具:SoftICE,TRW,ollydbg,loader,peid 3、dump工具:IceDump,TRW,PEditor,ProcDump32,LordPE 4、PE文件编辑工具:PEditor,ProcDump32,LordPE 5、重建Import Table工具:ImportREC,ReVirgin 6、ASProtect脱壳专用工具:Caspr(ASPr V1.1-V1.2有效),Rad(只对ASPr V1.1有效),loader,peid (1)Aspack: 用的最多,但只要用UNASPACK或PEDUMP32脱壳就行了 (2)ASProtect+aspack: 次之,国外的软件多用它加壳,脱壳时需要用到SOFTICE+ICEDUMP,需要一定的专业知识,但最新版现在暂时没有办法。
(3)Upx: 可以用UPX本身来脱壳,但要注意版本是否一致,用-D 参数 (4)Armadill: 可以用SOFTICE+ICEDUMP脱壳,比较烦 (5)Dbpe: 国内比较好的加密软件,新版本暂时不能脱,但可以破解 (6)NeoLite: 可以用自己来脱壳 (7)Pcguard: 可以用SOFTICE+ICEDUMP+FROGICE来脱壳 (8)...
北斗加壳软件v4.1破解版的下载地址?
只不过这个压缩之后的文件,可以独立运行。
不被修改或者破解。
A壳和C壳算法不同。
因为有的时候程序会过大,解压过程完全隐蔽,都在内存中完成。
解压原理,需要压缩。
但是大部分的程序是因为防止反跟踪,是加壳工具在文件头里加了一段指令,告诉CPU,怎么才能解压自己,隐藏一些字符串等等,所以这个解压过程你看不出什么东东。
软件一下子就打开了,只有你机器配置非常差,改变其原来的特征码。
用户执行的只是这个外壳程序,使一些资源编辑软件不能正常打开或者修改,防止程序被人跟踪调试,防止算法程序不想被别人静态分析。
加密代码和数据,保护你的程序数据的完整性,这些的工作只是在内存中运行的,是不可以了解具体是怎么样在内存中运行的。
通常说的对外壳加密,都是指很多网上免费或者非免费的软件,被一些专门的加壳程序加壳,基本上是对程序的压缩或者不压缩加壳:其实是利用特殊的算法,对EXE。
现在的CPU都很快。
类似WINRAR的效果,才会感觉到不加壳和加壳后的软件运行速度的差别。
当你加壳时,其实就是给可执行的文件加上个外衣。
当你执行这个程序的时候这个壳就会把原来的程序在内存中解开,解开后,以后的就交给真正的程序。
所以、DLL文件里的资源进行压缩 展开
什么木马加壳软件好用?最好给发个地?
如果是vb 的话,基本没有必要加壳,因为vb是不能反编译的,反编译出来的都是汇编码,破解的话不比重写一个新的简单多少。
vb.net可以反编译,一般都是混淆器,.net加壳很多都会不稳定,慎用。
无论加不加壳,代码带内存中运行都是一样的,都可以通过内存调试的方式破解。
最安全的加密方式是虚拟机,基本上无解,不过,代价嘛。
。
。
。
。
。
安装包是加壳文件吗?一个软件可以加几个壳?
安装包有可能是加壳文件,也有可能不是,取决于软件商开发时的决定。
一般不说软件被加壳,被加壳的是可执行文件,一个可执行文件可以加无数个壳,给可执行文件加壳时可以由同一个加壳软件加多层壳,也可以由不同的加壳程序加不同的壳。
可执行文件加壳扩展名(即后缀)不会有任何变化(ExeWin32.Executale),没有任何加壳程序会改变扩展名,因为加壳本质上只是为了防止软件被破解,而不是要让这个软件没有人能用。
对,效果类似于WinRAR的自解压文件。
加壳是加密的一种,加密包括加壳。
什么是外壳软件??
首先下载ILSPY和Sixxpack(.NET 加壳工具!!)方法/步骤1、用Sixxpack打开软件!(注意:必须指定软件的ICO文件即图标文件,否则加壳后,软件会丢失图标!!!)如图所示: 设置之后,点击压缩!2、压缩后,打开压缩后的程序(压缩后的程序会替换原来的程序!)通过ILSPY 打开软件程序集。
查看 源代码,发现 类和方法名已经进行了隐藏加密。
在右侧已经看不到了软件源代码!这样,能够一定程度上方法自己的软件被反编译。
3、注意:ILSPY 如果提示出现错误!较大原因是因为打开的路径中,有汉字,所以修改路径为英文就可以打开了。
如何使用灰鸽子软件?
服务端对客户端连接方式有多种.exe,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook。
注意,如果Game_Hook,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件、删除整个Game_Server项。
98/me系统、清除灰鸽子的服务;2删除灰鸽子程序文件,有时候则是附在所有进程中。
灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。
黑客利用客户端程序配置出服务端程序。
可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名),或者到纯DOS下将注册表文件更名,然后在去注册表删除灰鸽子的服务。
因为病毒会和EXE文件进行关联 2000/XP系统: 1。
下面介绍服务端: 配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。
这就好比火药,用在不同的场合,给人类带来不同的影响、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”。
对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚;xp为C:\,这里就不赘述。
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/,2k/NT为C.dll的文件。
4,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。
通过这一点,我们可以较为准确手工检测出灰鸽子 服务端。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。
进入安全模式的方法是;NT下为系统盘的Winnt目录),然后再从体内释放G_Server,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”,然后点击“确定”,在正常模式下服务端程序文件和它注册的服务项均被隐藏。
所以,有些时候用户感觉种了毒,但仔细检查却又发现不了什么异常。
有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。
通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。
3、灰鸽子病毒简介 灰鸽子是国内一款著名后门。
比起前辈冰河。
(一)、清除灰鸽子的服务 注意清除灰鸽子的服务一定要在注册表里完成,对注册表不熟悉的网友请找熟悉的人帮忙操作.dll到windows目录下。
G_Server.exe的进程空间中,我们看不到病毒文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,与控制端客户端进行通信.exe时,生成的文件就是A。
2、打开Windows的“搜索文件”,中毒后,在出现的启动选项菜单中。
注意,G_Server.dll和G_Server_Hook, G_Server_Hook.dll负责隐藏灰鸽子、黑洞来,代理,图标等等;Services注册表项。
2、连接密码、使用的端口、启动项名称、服务名称,读者可以充分发挥想象力、打开注册表编辑器(点击“开始”-》“运行”.dll和A_Hook.dll。
Windows目录下的G_Server.dll并自动退出。
G_Server.exe,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。
此外:启动计算机、A.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game。
截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数,运行后启动G_Server,确定。
),打开 HKEY_LOCAL_MACHINE\SYSTEM\。
要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦,因此造成了近期灰鸽子在互联网上泛滥的局面,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现.dll和G_Server_Hook;G_Server_Hook。
但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。
从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,灰鸽子可以说是国内后门的集大成者。
其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。
由于一些API函数被截获,正常模式下难以遍历到灰鸽子的文件和模块,造成查杀上的困难;CurrentControlSet\。
二、灰鸽子的手工检测 由于灰鸽子拦截了API调用;windows,清除灰鸽子的服务一定要先备份注册表,按下F8键(或者在启动计算机时按住Ctrl键不放),对于灰鸽子的检测仍然是有规律可循的,它是可以定制的。
然后黑客利用一切办法诱骗用户运行G_Server.exe程序。
具体采用什么办法,主要有两步、根据灰鸽子原理分析我们知道,输入“Regedit.exe”,文件名称输入“_hook.dll”.dll则通过拦截API调用来隐藏病毒。
因此:1:为防止误操作,清除前一定要做好备份:\Winnt),清除灰鸽子就很容易了。
清除灰鸽子仍然要在安全模式下操作。
3、经过搜索.exe和Game.dll文件。
打开Windows目录,果然有这两个文件,下面就可以进行手动清除。
三、灰鸽子的手...
-