0x01 什么是壳

最新推荐文章于 2025-06-06 23:44:23 发布

转载最新推荐文章于 2025-06-06 23:44:23 发布 · 593 阅读

文章标签：

#加密 #压缩 #反编译 #逆向

脱壳加壳专栏收录该内容

1 篇文章

订阅专栏

本文介绍了计算机领域的壳技术，包括压缩壳和加密壳两种类型。压缩壳用于减小程序体积，而加密壳则通过加入大量代码来增加逆向工程难度。文中列举了多种壳的具体实例及其所采用的不同压缩引擎。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

鸡蛋壳，鸵鸟蛋壳，类似各种自然界的壳，计算机中也有一种叫壳的东西。主要用来对一个文件进行加密或压缩，防范被反编译分析查看到代码。

主要的压缩引擎有 aPLib、JCALG1、LZMA（就是著名的7zip的压缩算法辣）

壳的分类：

1.压缩壳：减少程序的尺寸

ASPack UPX PECompat

2.加密壳：加大量的代码，使逆向人员

ASProtect Armadillo EXECryptor Themida VMProtect

推广下老师的论坛：小甲鱼

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Lirichx

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

CVE-2014-6271 “破壳“ 漏洞（cgi-bin）

墨痕诉清风的博客

07-19

2971

CVE-2014-6271（即“破壳”漏洞）广泛存在与GNUBash版本小于等于4.3的*inux的系统之中，只要目标服务器开放着与Bash相交互的应用与服务，就有可能成功触发漏洞，获取目标系统当前Bash运行用户相同权限的shell接口。该漏洞利用条件较多，1.bash版本小于等于4.3，2.攻击者可以控制环境变量，3.新的bash进程被打开触发漏洞并执行命令。简单点说，没有cgi脚本继承环境变量，就玩不了；有cgi脚本的，bash版本过高也玩不了。catecho;do";};......

详解如何自定义 Android Dex VMP 保护壳

01-13

2037

Android Dex VMP（Virtual Machine Protection，虚拟机保护）壳是一种常见的应用保护技术，主要用于保护 Android 应用的代码免受反编译和逆向工程的攻击。 VMP 保护壳通过将应用的原始 Dex（Dalvik Executable）文件进行加密、混淆、虚拟化等处理，使得恶意用户无法轻易获取到应用的原始代码和逻辑。比如，实现一个 Android 下的 Dex VMP 保护壳，用来保护 Kotlin 层 sign 算法，防止被逆向。

参与评论您还未登录，请先登录后发表或查看评论

逆向VMP壳的基本思路

狂奔boy的博客

06-26

7126

逆向Android平台的时候，偶然发现了Profiler性能面板的CPU trace功能的妙用，启发了我逆向VMP的新思路

vmp 壳实战经验

nn_84的博客

08-23

431

vmp 一些壳虽然是虚拟壳但这个壳有一个缺点也就是去除了随机地址所有程序入口地址都是 401000 程序就是这样排列的。对于vmp 对象编程加密的壳你脱壳后无法正确运行是因为资源被加密。

天盾网络验证 VMP 强壳逆向

最新发布

wuyoula的博客

06-06

933

摘要：本文介绍了天盾网络验证VMP强壳的逆向分析流程。首先需掌握汇编语言、调试技巧等基础知识，准备IDAPro等工具。分析重点包括：通过动态调试定位GetSystemTimeAsFileTime和QueryPerformanceCounter两个关键API；在text段寻找程序入口点；利用脚本dump文件后进行修复重建。最后强调逆向工程可能涉及法律风险，操作时需确保合规。全文简要说明了从准备到脱壳修复的完整逆向过程及注意事项。（150字）

脱壳方法 vmp 和各种壳的脱壳经验

nn_84的博客

08-25

1930

脱vmp壳我要说明一件事情加了随机地址的vmp壳是无法脱的因为入口地址会出问题你脱那么入口地址一定是固定的这样壳就不可能正常但没有随机的过程编程的程序 oep就是401000 连对象编程的程序也是 401000 之所以脱后不正常是因为壳把资源和导入导出表加密但过程编程只需跑完 virtualalloc 函数后直接转跳到 401000 就可以脱壳了。

VMP3.5 脱壳--查找OEP

被遗弃的庸才博客

01-19

1万+

背景无 VMP的介绍相信看到这篇文章的人都听过或了解过vmp，基本遇到vmp加壳的程序基本就是右键回收站，但是如果只是简单的加了一层vmp壳的话，还是可以分析的。 vmp加壳方式下面是程序代码 int main() { printf("222222222\n"); system("pause"); return 0; } 然后把随机基地址关一下，方便之后查找main函数这里说明一下，目前大部分人加壳都会虚拟化代码段，这样的话基本上就需要右键回收站了，主要是核心代码被vm

VMP学习笔记之壳基础（一）

u014738665的博客

10-12

4254

【文章标题】: Vmp1.21学习笔记【文章作者】: 黑手_鱼【软件名称】: Vmp1.21 【下载地址】: 自己搜索下载【加壳方式】: UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) 【编写语言】: Borland Delphi 4.0 - 5.0 【操作平台】: win7 32位【作者声明】: 以看雪作者waiWH的VMP还原系列为原型逆向分析 ---------------------------------------------------

实验室考核复习（一）----51单片机（基础模块）

0xDQ的博客

05-19

9686

0x00 前言 6月份实验室考核，考核的内容我也不知道（估计是 51，c,加点电分，或者数据结构？不知道），虽然是一些入门的东西，不过为了万无一失（谁也不敢说会不会出一些犄角旮旯的东西），还是从头捋一遍。（菜鸡瑟瑟发抖），先51看一下吧。我就拿普中-51-A3的举例了 0x01 最小系统板： 1.电源电路 2.复位电路 3.时钟电路 4.下载电路 MCU 4个广角，P0 P1 P2 P3 对应就行。复位 RST 网络标号跟上述单片机的9脚相连， 1）当按键按下后，...

网络时间同步服务器（NTP）设备结构说明

NTP授时服务器

08-13

2573

网络时间同步服务器（NTP）设备结构说明网络时间同步服务器（NTP）设备结构说明安徽京准原文装置的用途及特点卫星时间同步系统是根据《华东电网统一时钟系统技术规范》、《上海电网GPS时间同步系统技术原则和运行管理规定》和《电力系统时间同步技术规范》设计的时间同步系统，它由时间同步系统主时钟和时间同步系统从时钟组成，可集中或单独组屏。该系统利用GPS（全球卫星定位系统）、北斗或IRIG-B（DC）码发送的秒同步信号和时间信息，向电力系统各种系统和自动化装置（如调度自动化系统、微机继电保护装置、故障录

c++学习笔记(vmp壳)摘要

qq_56466624的博客

11-04

1242

#define VMP_BEGINV _asm _emit 0xEB _asm _emit 0x10 _asm _emit 0x56 _asm _emit 0x4D _asm _emit 0x50 _asm _emit 0x72 _asm _emit 0x6F _asm _emit 0x74 _asm _emit 0x65 _asm _emit 0x63 _asm _emit 0x74 _asm _emit 0x20 _asm _emit 0x62 _asm _emit 0x65

vmp带壳内部打补丁.exe

08-02

说说软件的用途支持对 vmp2.x-3.x 带壳内部打补丁支持 exe 支持dll 本次更新 1.若干Bug 2.美化UI 3.增加了弹窗功能 4.增加DLL加载功能 5.增加偏移自动计算功能

易语言VMP加壳工具源码

08-12

可以保护自己的软件让别人破解易语言VMP加壳工具源码是一个vmp加密软件的源码编译过后可以直接使用方便快捷加密过后会出现在软件的当前目录！

[加壳脱壳] VMP壳原理简介

LYSM

08-29

1万+

特点不同的压缩壳会先将 pe 文件压缩，载入内存后进行解压缩（TLS函数内）然后运行，而 vmp 是修改 pe文件中的汇编指令为一种 “伪指令” ，这些伪指令被虚拟机引擎解析，代替cpu去执行这些指令，一般一条正常指令会对应多条伪指令(多是些无意义的跳转)，所以被 vmp 加壳的程序速度会变慢。 ...

利用工具半自动修复VMP3.5壳的变异IAT

热门推荐

vbnetcx的博客

03-11

3万+

第四步:以管理员打开Imports Fixer, 进程列表中选择正在调试的进程, 点击IT&IAT, 代码区段中选择.text, OEP填写之前记下的OEP地址, 点击获取导入表, 把无效指针都去掉, 点击修正转储, 选择之前dump出来的文件, 最后dump出来的文件就已经修复完变异IAT啦, 可以把.vmp0和.vmp1区段头和数据全部删除啦。第二步:以管理员打开cmd, 执行"vmp3-import-fix-x86 -p 之前记下的进程ID"命令, 执行完命令后随便用个工具dump出来;

VMP2.0版本带壳调试教程

安全杂货铺

06-29

7295

样本MD5：297DE74CB20A975EFAF20CD88FDDF270 在逆向分析时遇到VMP壳总是令人头疼，因为要源文件完美地从VMP壳中脱出来非常的困难。相比于VMP完美脱壳，带壳调试要简单许多，而且已经能满足调试分析的需求了，VMP分1.0、2.0、3.0，2.0，现在市面上较多见的是2.0，调试方法也较简单，下面我们就来讲解下如何带壳调试VMP2.0。使用查壳工具可以得知样本加的是...

VMP 虚拟机(加壳原理)

hhd1988的专栏

04-29

9628

获取途径 http://www.drmsoft.cn/reseller/vmp.asp 技术剖析虚拟机保护技术就是将基于x86汇编系统的可执行代码转换为字节码指令系统的代码，以达到保护原有指令不被轻易逆向和修改的目的，这种指令也可以叫伪指令，和VB的pcode有点类似。从本质上讲，虚拟指令系统就是对原本的x86汇编指令系统进行一次封装，将原本的汇编指令转换为另一种表现形式。 push uType push lpCaption push lpText push hWnd, call Message

某vmp壳原理分析笔记----ELF文件的加载，链接，IDAPYTHON

zhangmiaoping23的专栏

01-17

2610

某vmp壳原理分析笔记分析的样本为某数字公司最新免费壳子。之前的壳子已经被很多大佬分析了，这篇笔记的主要目的是比较详细的分析下该vmp壳子的原理，数字壳子主要分为反调试，linker，虚拟机三部分。笔记结构如下：反调试时间反调试 rtld_db_dlactivity反调试 traceid反调试端口反调试 linker部分：用来加载第二个so 装载 ...

转载关于两个壳VMP 和TMD

zimengmeng131的博客

05-11

5407

学了两课，膨胀的找了个两个软件，一个vmp壳一个Themida & WinLicense 2.0 - 2.4.6。老实了。以下为转载，目前看不懂完全。总结vmp壳基础原理，大牛不要喷啊！ 1.与传统的加壳工具不同，不是简单的把目标进行压缩、内存解压运行，而是修改目标源码，让目标的部分指令在vmp创建的虚拟环境下运行，虚拟环境中无操作数比较指令、条件跳转和无条件跳转指令； 2.被修...

CTF加载程序是什么

03-13

<think>好的，用户问的是“CTF加载程序是什么”。首先，我需要明确CTF在这里的上下文。CTF通常指“Capture The Flag”，在网络安全竞赛中常见。加载程序可能指与二进制利用相关的程序加载机制。接下来，我应该分解问题。CTF中的加载程序可能涉及ELF文件、PE文件的结构，或者是动态加载恶意代码的过程。需要区分不同场景，比如逆向工程、Pwnable题目中的利用。然后，考虑用户可能的背景。可能是刚接触CTF的新手，需要基础解释。要避免使用过多术语，但又要准确。需要说明加载程序在CTF中的作用，比如在Pwn题中，程序可能有漏洞，加载程序的过程涉及内存布局，地址随机化等。另外，可能用户混淆了加载程序（Loader）和链接器（Linker）的概念。需要简要说明操作系统如何加载可执行文件，包括段映射、动态链接库加载等步骤。这可能涉及到CTF题目中的知识点，如GOT/PLT表利用，栈溢出等。还要考虑不同的操作系统环境，比如Linux下的ELF加载和Windows下的PE加载机制差异。可能用户遇到的题目类型不同，需要分别举例说明。需要验证自己的理解是否正确。例如，CTF中的加载程序是否有时指自定义的加载器，比如壳（Packers）或混淆代码，用于反调试或保护flag。这种情况下，逆向分析加载程序成为解题关键。最后，整理结构，先定义CTF加载程序，再分场景讨论其作用，举例说明在题目中的应用，以及相关技术点。确保语言简洁，逻辑清晰，符合用户需要的中文回答。</think>CTF（Capture The Flag）中的"加载程序"（Loader）是一个与二进制程序执行密切相关的系统级概念。它在逆向工程和漏洞利用（Pwn）类题目中尤为重要。以下是分步解析： --- ### 一、基础定义在操作系统层面，**加载程序**指将可执行文件（如ELF/Linux、PE/Windows）从磁盘加载到内存，并准备执行环境的机制。具体过程包括： 1. **段映射**：将代码段（`.text`）、数据段（`.data`、`.bss`）等加载到内存 2. **动态链接**：解析依赖的共享库（如`libc.so`） 3. **内存布局**：构建栈（Stack）、堆（Heap）、内存映射区域（Memory Mapping）等 $$ \text{磁盘文件} \xrightarrow{\text{Loader}} \text{内存镜像} + \text{执行上下文} $$ --- ### 二、CTF中的关键应用场景 #### 1. 漏洞利用（Pwn） - **内存地址确定性**：若程序未开启ASLR（地址空间随机化），加载后的内存布局固定，便于计算偏移 - **GOT/PLT 表**：全局偏移表（GOT）和过程链接表（PLT）的加载过程可能被用于劫持控制流 - **示例**：通过覆盖GOT表项实现任意函数调用 #### 2. 逆向工程（Reverse） - **自定义加载器**：部分题目会使用加壳（Packing）或反调试技术，需要分析自定义加载逻辑 - **动态加载代码**：运行时解密代码片段并加载执行（如通过`mmap`系统调用） #### 3. 动态链接行为 - **LD_PRELOAD 攻击**：通过环境变量劫持共享库加载过程 - **Interpreter劫持**：篡改ELF文件的解释器路径（如`/ld-linux-x86-64.so.2`） --- ### 三、典型技术点 1. **ELF文件头分析** 通过`readelf -h`查看入口地址（Entry Point），确定加载起始位置： $$ \text{Entry Point} = 0x8048000 \quad (\text{32位Linux常见值}) $$ 2. **进程内存映射** 使用`/proc/<pid>/maps`观察加载后的内存布局： ``` 00400000-00401000 r-xp 00000000 08:01 /path/to/program # 代码段 00600000-00601000 r--p 00000000 08:01 /path/to/program # 数据段 7ffff7dd5000-7ffff7dfc000 r--p 00000000 08:01 /lib/x86_64-linux-gnu/libc.so.6 ``` 3. **动态链接过程** PLT/GOT的延迟绑定机制： $$ \text{调用函数} \rightarrow \text{PLT桩代码} \rightarrow \text{GOT表} \rightarrow \text{首次跳转解析器} $$ --- ### 四、CTF题目案例 1. **静态编译程序** 无动态依赖库，但可能包含隐藏功能（如后门函数） 2. **自定义Loader** 题目提供一个加载器，要求分析其解密/加载目标程序的行为 3. **ROP链构造** 依赖加载后的内存布局，通过`gadget`地址拼接攻击代码 --- ### 五、学习建议 1. 掌握`objdump`、`gdb`、`strace`等工具分析加载行为 2. 实践ELF文件格式解析（推荐参考《ELF文件格式规范》） 3. 研究Linux内核源码中的`fs/binfmt_elf.c`（ELF加载实现）通过理解加载程序的底层机制，可以更高效地解决CTF中与内存操作、代码注入相关的挑战。