认识常见壳与程序的特征
认识壳与程序的特征
国内接触到程序比较流行的编译器有:VC系列、易语言、.NET、Delphi,VB、ASM、BC++,AutoIt、PB、QT等,实例来看看“入口点代码”、“程序区段”和“加载模块”等特征。
VB6特征:
VC6特征:
入口点代码是固定的代码,入口调用的API也是相同的,其中有的push地址不同程序可能不同;区段有四个也是固定的.text、.rdata、.data和.rsrc。
VS2008,VS2013,VS2015特点:
VS特征:入口点只有两行代码,一个CALL后直接JMP,第一个CALL进去后调用的API也是相同的;区段相对于VC6多了一个.reloc。.text、.rdata、.data、.rsrc、.reloc
易语言编译无壳程序(独立编译和非独立编译):
非独立编译:特征非常明显,会加载“krnln.fnr”模块,及有一些ascii特征码
独立编译:因易语言用的是VC6的编译器,所以入口特征和区块特征跟VC6特征是一样的,最简单的就是查找字符串方法:
看特证字符串,Ollydbg中右击选择中文搜索引擎--智能搜索,如果有以下特征字符串,就可以确定是易语言编写:
Delphi特征:
入口点代码是有以下特征;区段一般有8个,基中固定的CODE,DATA,BSS。
MASM(汇编)特征:
加壳程识别:
PEiD、FFI、FastScanner、RDG Packer Detector这类程序都是通过数据库进行加壳程序特征对比的,好多年没更新了。
Exeinfo PE属于新一代查壳工具,作者目前还在更新,加壳特征库比较准确而且范围很广,如ThemIDA、WinLicense、VMProtect、ZProtect、Shielden都可以轻松识别出来,可以说是目前可以说最好的查壳工具了
Aspack壳特征:入口点及区段有以下特点
UPX壳特征:入口点及区段有以下特点
Themida壳特征:入口点及区段有以下特点,新老版本的入口点不太一致
VMProtect壳特征:入口点看起来像是乱码,主要看区段特征,里面的vmp0,vmp1名字是可以随便换的
Shielden壳特征:入口处有些跳转,分析一下代码,单步运行会现一些ascii特征,区段一般有四个,其中二个.sedata是可以随便改的
EZIP壳特征:入口处为以下特征,可F8步入,push ad 后用esp定律或单步手动脱壳,
认识常见壳与程序的特征相关推荐
- 【吾爱破解第一期】破解基础知识之认识壳与程序的特征
[顶部按钮] l:日志 e:模块 m: 内存 t:线程 w:窗口 h:句柄 c:反汇编窗口 p: 修改过的信息 k:调用堆栈 b:断点 一,常见基本壳的特征: ①,vc6编译的软件: PEID查 ...
- SE壳C#程序-CrackMe-爆破 By:凉游浅笔深画眉 / Net7Cracker
[文章标题]: [SE壳C#程序-CrackMe-爆破]文字视频记录! [文章作者]: 凉游浅笔深画眉 [软件名称]: CM区好冷清,我来发一个吧!小小草莓 [下载地址]: http://www.5 ...
- 常见WebShell客户端的流量特征及检测思路
常见WebShell客户端的流量特征及检测思路 01概述 开始之前先明确什么是webshell客户端?先问个问题,什么是客户端,什么是服务端? 很简单,提供服务的就是服务端,要求被服务的就是客户端.那 ...
- codesys 串口通讯实例_常见的PLC程序实例,车库自动门的PLC控制!
点击箭头处"工业之家",选择"关注公众号"! PLC控制车库自动门实例 车库自动门控制 (1)明确系统控制要求 系统要求车库门在车辆进出时能自动打开关闭,车库门 ...
- c语言调试时出现的三种错误,C语言课件 第十四章 常见错误和程序调试
<C语言课件 第十四章 常见错误和程序调试>由会员分享,可在线阅读,更多相关<C语言课件 第十四章 常见错误和程序调试(36页珍藏版)>请在人人文库网上搜索. 1.第十四章常见 ...
- 常见博客程序的市场有这几个
常见博客程序 随着互联网的火热发展,越来越多的人搭建属于自己的个人博客.在说说建站那些事一文中提到建立博客网站的三要素是:域名.服务器.博客程序,对于博客程序,可以自己写一个博客系统(如果你足够牛逼的 ...
- c语言常见错误分析和程序调试,C语言中常见错误分析及程序调试
总结分析了C语言中常见错误及程序调试的相关技巧,以提高初学者的编程能力. 2 8 2月 0年l 0 电脑学习 第6 期 C语言中常见错误分析及程序调试 陈伟' 陈东淼 摘要:总结分析了 C语言中常见错 ...
- 常见的Web安全漏洞特征
目录 Web安全漏洞分析 SQL注入攻击特征 文件上传 命令执行 框架漏洞-ThinkPHP 5.x RCE 框架漏洞-Struts2-016 框架漏洞-Struts2-045 中间件漏洞-Tomca ...
- 32. 脱壳篇-简单带壳的程序、反调试带壳的程序(堆栈平衡原理找OEP、代码段设置断点)
第一个程序 OEP为46B6F9 PE头位置为46B000到46D000区间,have a nice day! 就是壳 一定要点上箭头指向处,dump改名 清除区段 ,删除壳,保存 第二个程序(市面上 ...
最新文章
- Spring Cloud Alibaba---服务注册、发现、管理中心Nacos
- 免费资源 | ActiveReports 报表控件发布多平台 Demo 代码集合
- vs2005中文的,可是有180天的适用期,哪位高手能破了啊
- ABAP制作密码输入框
- 操作系统(二十二)用信号量机制实现进程互斥、同步、前驱关系
- 在windows下将Tomcat设置为自动启动的服务
- 定义一个手表_华米Amazfit Pop评测:一款功能全面的“性价比”手表
- javascript网页特效_南通建网站哪些,网页设计维护
- python打开文件要wordcloud吗,使用python创建wordcloud
- cuda的global memory介绍
- PyCharm安装与配置,python的Hello World
- accessibility-service 高版本无法编译_今天我把APP的编译速度缩短了近5倍
- Java高并发BlockingQueue重要的实现类二
- 性能测试--33Jvisualvm远程监控Linux服务器方案
- PPT视频无法播放,编解码器不可用
- 《王者荣耀》手游产品分析报告:崛起的王者荣耀,胜负就是这么简单!
- python图灵机器人微信号_IT之家学院:让你的微信号变成自动聊天机器人
- 【SeedLab】ARP Cache Poisoning Attack Lab
- 006. 分割回文串
- 槐香拂过,你如期而至
热门文章
- 计算机硬件与软件教学反思,计算机硬件教学反思.doc
- 一种基于优先级轮询调度负载均衡的crossbar结构
- 首批!智领云CTO宋文欣入选“开源GitOps产业联盟技术委员会”成员名单
- ILM --interface logic model
- 【转】Java-满天繁星案例
- Python 3,4行代码实现去除图片背景色,从此告别PS!!
- 12_STM32Cubeide开发_USB从设备串口驱动程序
- 好佳居软装十大品牌 软装这些知识我们要知道
- 10_07【Java】Map集合详述
- 赵小楼《天道》《遥远的救世主》深度解析(4)从肖亚文引申怎么看待随缘、惜缘、攀缘这三种缘?