逆向——壳应用

最新推荐文章于 2024-03-09 10:00:08 发布
原创 最新推荐文章于 2024-03-09 10:00:08 发布 · 1.2k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#信息安全

逆向——壳应用

文章目录

前言

本次实验的主要要求是在理解PE文件以及壳的工作原理基础上,对目的PE文件进行处理,增加节,并写入符合加密壳功能的代码,修改PE文件入口地址、修改节属性,达到加密壳的功能。

本次实验用到的工具有OllyDBG、PEditor、WinHex等。

提示:以下是本篇文章正文内容,下面案例可供参考

一、壳的执行流程

壳是在可执行程序的外面进行了一次包裹,从而让壳对可执行文件进行保护(这里说的壳指的是压缩壳或加密壳,不包含虚拟指令壳)。壳通常会在可执行文件执行之前先进行执行,从而更好地获得控制权。加密壳会在进行一系列的初始化工作之后(可能包括解压缩、解密等,加密壳通常也有压缩功能)也把控制权交还给可执行程序,但是在可执行程序执行的过程中,外壳仍然会对可执行程序进行各种各样的“干涉”,从而达到更好的保护作用。
在这里插入图片描述
从上图中可以看出,在加壳后的可执行程序中多了一个.Pack 节(该名字任意,甚至可以为空),该节中存放的是壳的代码或相关的加壳后的数据,当然壳相关的代码或数据可能会放在多个节中,而不是一个节中。由于壳要首先取得控制权,因此程序的入口地址会指向壳的添加的节区(当然不是绝对的,也可能入口不变,而是修改入口处的代码),当壳的代码执行完成后,再跳回到原来的入口点进行执行。

二、模拟壳的工作

初始PE文件的 RVA 与 FOA 相同,使得模拟的时候可以省去各种地址转换的问题。本节的模拟工作将会在该文件上进行模拟。以下分析、处理基于EnPE.exe文件。

2.1、 对原始可执行文件RawPE.exe的代码节进行加密,得到EnPE.exe(已完成);

密码算法:异或;

最低0.47元/天 解锁文章
的艺术(逆向工程、、保护、反调试、反逆向
11-20
网上找到的关于脱的介绍,发出来让大家共享
逆向工程实验三
weixin_52852770的博客
03-09 908
研究软件注册机制
逆向分析系列——常见的三种
任浩的博客
02-03 490
压缩、保护、捆绑
的执行过程
weixin_34033624的博客
05-22 149
的执行过程 转载于:https://www.cnblogs.com/LoveFishC/archive/2013/05/22/3845885.html
逆向——脱
wk19951125的博客
05-06 973
逆向——脱和无的区别的类型区别脱的关键寻找OEP寻找大跳转SFX功能定位OEP内存执行定位OEPESP定律VB程序快速定位OEP最后一次异常法定位OEP利用常用函数来定位OEP参考文献 #脱和无的区别 的类型 压缩 加密 虚拟机 区别 入口点改变 区段信息改变 代码段程序隐藏 加程序修改后无法保存 运行后,恢复的程序会将修改的内容覆盖 脱的关键 寻找OE...
自己收集的一些逆向工程的入门概念——、注册机、算法求逆、反病毒、免杀
siphre
10-08 1332
一、软件逆向工程 大多数时候都会被简称为逆向工程(Reverse engineering)或直接将其称为逆向(Reverse)。软件逆向工程的基本思路是将二进制代码按照一定格式进行正确有效的反汇编,并通过分析反汇编代码再配合其调用的外部函数或系统API等,对其代码逻辑进行理解,而在这个过程中最重要的就是推理出该二进制代码使用的数据结构。 二、加与脱 是程序免杀的手段之一,也起到干扰逆向...
【胖虎的逆向之路】03——Android一代办法罗列&实操
无方少年游
01-16 7753
在上文中,我们讲解了关于Android整体加的原理和实际操作,现在我们来针对目前主流的脱工具以及流程进行讲解,由于作者能力有限,会尽力的详细描述整体提示:以下是本篇文章正文内容,下面案例可供参考本文总结了当下dex整体加的常用的一些脱方案,并进行复现,但是在这里仅作为实验加深自己的理解为主(目前也不会这么简单的就可以拿到源Dex)但是有兴趣的朋友可以像我一样去把整个流程走一遍,加深自己的理解~
.net反编译必备工具——查工具集
反编译是一个将编译后的程序恢复成可读代码的过程,它通常用于学习他人代码的结构、修复损坏的程序或软件逆向工程等。对于.NET应用程序,反编译可以在不同的阶段进行,有的反编译器可以直接从机器代码生成IL代码,有...
逆向——基本知识
weixin_30297281的博客
06-03 920
基本知识 加程序 1、是什么? 加是可执行程序资源压缩,是保护文件的常用手段。加过的程序可以直接运行,但是不能查看源代码,要经过脱才可以查看源代码。 2、加的原理是什么?是怎么运作的? 加是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windo...
的介绍以及脱常用思路【收藏】
晏斐的Blog
09-10 1795
一、概论出于程序作者想对程序资源压缩、注册保护的目的,把分为压缩和加密两种UPX ASPCAK TELOCK PELITE NSPACK ...ARMADILLO ASPROTECT ACPROTECT EPE SVKP ...顾名思义,压缩只是为了减小程序体积对资源进行压缩,加密是程序输入表等等进行加密保护。当然加密的保护能力要强得多!二、常见脱方法  预备知识1.P
逆向基础-加
AppWhite_Star的博客
07-30 960
逆向基础-加
逆向-压缩单步跟踪方法
12-03 1089
1、压缩原理 所有的文件在存储中都是以0和1的形式存在的。 比如说一个文件的字节内容是“111111100000000000000000000000000000000000000000000000001111”,你要完全写出来的话,会很长很长, 但如果你用“1{7}0{49}1{4}”来描述它(当然这只是为方便说明这样写,并不是真的是一种压缩算法),也能得到同样的信息,但却只有13个字节,这样就减小了文件体积。 有些算法是无损的,也就是说都可以还原成与原文件一模一样;也有些算法是有损算法,但一般压
逆向分析系列——常见的类型
任浩的博客
02-03 2699
一、压缩: 1、UPX 2、ASPack 3、PECompact 4、RLPack 5、NSPack 二、保护: 1、ASProtect 2、Armadillo 3、EXECryptor 4、Themida 5、VMProtect 三、捆绑: MOleBox
逆向分析 工具、加、安全防护篇
最新发布
dzqxwzoe的博客
03-09 1995
步进:(F7)步过:(F8)!
【Android 逆向】脱解决方案 ( DEX 整体加 | 函数抽取加 | VMP 加 | Dex2C 加 | Android 应用加固防护级别 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
12-13 7833
一、DEX 整体加、 二、函数抽取加、 三、VMP 加、 四、Dex2C 加、 五、Android 应用加固防护级别、
android带应用开发,开发Android应用的基本步骤
weixin_39928768的博客
05-29 162
需要整理的主要包括如下步骤 项目功能有哪些需要哪些必要的界面以及界面之间跳转的流程需要的数据及其数据的来源和格式是否需要服务器端的支持是否需要本地数据库的支持是否需要特殊的权限是否需要后台的进程等。TIPS:先用纸和笔列出这个应用的必须的功能,该功能所需要的数据,及其展示界面,然后将这个界面需要的元素,用笔画在纸上,并理清楚每个页面的跳转关系,再理清其主要的功能后,就有了基本的开发轮廓了。这个阶...
爬虫进阶(安卓逆向)加加固-脱方法-破解腾讯乐加固-破解app请求token(3)
稳稳C9的博客
07-04 4432
爬虫进阶(安卓逆向)加加固-脱方法-破解腾讯乐加固-破解app请求token(3)
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值