认识壳与程序的特征

国内接触到程序比较流行的编译器有:VC系列、易语言、.NET、Delphi,VB、ASM、BC++,AutoIt、PB、QT等,实例来看看“入口点代码”、“程序区段”和“加载模块”等特征。

VB6特征:

VC6特征:

入口点代码是固定的代码,入口调用的API也是相同的,其中有的push地址不同程序可能不同;区段有四个也是固定的.text、.rdata、.data和.rsrc。

VS2008,VS2013,VS2015特点:

VS特征:入口点只有两行代码,一个CALL后直接JMP,第一个CALL进去后调用的API也是相同的;区段相对于VC6多了一个.reloc。.text、.rdata、.data、.rsrc、.reloc

易语言编译无壳程序(独立编译和非独立编译):

非独立编译:特征非常明显,会加载“krnln.fnr”模块,及有一些ascii特征码

独立编译:因易语言用的是VC6的编译器,所以入口特征和区块特征跟VC6特征是一样的,最简单的就是查找字符串方法:

看特证字符串,Ollydbg中右击选择中文搜索引擎--智能搜索,如果有以下特征字符串,就可以确定是易语言编写:

Delphi特征:

入口点代码是有以下特征;区段一般有8个,基中固定的CODE,DATA,BSS。

MASM(汇编)特征:

加壳程识别:

PEiD、FFI、FastScanner、RDG Packer Detector这类程序都是通过数据库进行加壳程序特征对比的,好多年没更新了。
Exeinfo PE属于新一代查壳工具,作者目前还在更新,加壳特征库比较准确而且范围很广,如ThemIDA、WinLicense、VMProtect、ZProtect、Shielden都可以轻松识别出来,可以说是目前可以说最好的查壳工具了

Aspack壳特征:入口点及区段有以下特点

UPX壳特征:入口点及区段有以下特点

Themida壳特征:入口点及区段有以下特点,新老版本的入口点不太一致

VMProtect壳特征:入口点看起来像是乱码,主要看区段特征,里面的vmp0,vmp1名字是可以随便换的

Shielden壳特征:入口处有些跳转,分析一下代码,单步运行会现一些ascii特征,区段一般有四个,其中二个.sedata是可以随便改的

EZIP壳特征:入口处为以下特征,可F8步入,push ad 后用esp定律或单步手动脱壳,

认识常见壳与程序的特征相关推荐

  1. 【吾爱破解第一期】破解基础知识之认识壳与程序的特征

    [顶部按钮] l:日志 e:模块 m:  内存  t:线程  w:窗口 h:句柄 c:反汇编窗口 p: 修改过的信息 k:调用堆栈 b:断点 一,常见基本壳的特征: ①,vc6编译的软件: PEID查 ...

  2. SE壳C#程序-CrackMe-爆破 By:凉游浅笔深画眉 / Net7Cracker

    [文章标题]: [SE壳C#程序-CrackMe-爆破]文字视频记录! [文章作者]:  凉游浅笔深画眉 [软件名称]: CM区好冷清,我来发一个吧!小小草莓 [下载地址]: http://www.5 ...

  3. 常见WebShell客户端的流量特征及检测思路

    常见WebShell客户端的流量特征及检测思路 01概述 开始之前先明确什么是webshell客户端?先问个问题,什么是客户端,什么是服务端? 很简单,提供服务的就是服务端,要求被服务的就是客户端.那 ...

  4. codesys 串口通讯实例_常见的PLC程序实例,车库自动门的PLC控制!

    点击箭头处"工业之家",选择"关注公众号"! PLC控制车库自动门实例 车库自动门控制 (1)明确系统控制要求 系统要求车库门在车辆进出时能自动打开关闭,车库门 ...

  5. c语言调试时出现的三种错误,C语言课件 第十四章 常见错误和程序调试

    <C语言课件 第十四章 常见错误和程序调试>由会员分享,可在线阅读,更多相关<C语言课件 第十四章 常见错误和程序调试(36页珍藏版)>请在人人文库网上搜索. 1.第十四章常见 ...

  6. 常见博客程序的市场有这几个

    常见博客程序 随着互联网的火热发展,越来越多的人搭建属于自己的个人博客.在说说建站那些事一文中提到建立博客网站的三要素是:域名.服务器.博客程序,对于博客程序,可以自己写一个博客系统(如果你足够牛逼的 ...

  7. c语言常见错误分析和程序调试,C语言中常见错误分析及程序调试

    总结分析了C语言中常见错误及程序调试的相关技巧,以提高初学者的编程能力. 2 8 2月 0年l 0 电脑学习 第6 期 C语言中常见错误分析及程序调试 陈伟' 陈东淼 摘要:总结分析了 C语言中常见错 ...

  8. 常见的Web安全漏洞特征

    目录 Web安全漏洞分析 SQL注入攻击特征 文件上传 命令执行 框架漏洞-ThinkPHP 5.x RCE 框架漏洞-Struts2-016 框架漏洞-Struts2-045 中间件漏洞-Tomca ...

  9. 32. 脱壳篇-简单带壳的程序、反调试带壳的程序(堆栈平衡原理找OEP、代码段设置断点)

    第一个程序 OEP为46B6F9 PE头位置为46B000到46D000区间,have a nice day! 就是壳 一定要点上箭头指向处,dump改名 清除区段 ,删除壳,保存 第二个程序(市面上 ...

最新文章

  1. Spring Cloud Alibaba---服务注册、发现、管理中心Nacos
  2. 免费资源 | ActiveReports 报表控件发布多平台 Demo 代码集合
  3. vs2005中文的,可是有180天的适用期,哪位高手能破了啊
  4. ABAP制作密码输入框
  5. 操作系统(二十二)用信号量机制实现进程互斥、同步、前驱关系
  6. 在windows下将Tomcat设置为自动启动的服务
  7. 定义一个手表_华米Amazfit Pop评测:一款功能全面的“性价比”手表
  8. javascript网页特效_南通建网站哪些,网页设计维护
  9. python打开文件要wordcloud吗,使用python创建wordcloud
  10. cuda的global memory介绍
  11. PyCharm安装与配置,python的Hello World
  12. accessibility-service 高版本无法编译_今天我把APP的编译速度缩短了近5倍
  13. Java高并发BlockingQueue重要的实现类二
  14. 性能测试--33Jvisualvm远程监控Linux服务器方案
  15. PPT视频无法播放,编解码器不可用
  16. 《王者荣耀》手游产品分析报告:崛起的王者荣耀,胜负就是这么简单!
  17. python图灵机器人微信号_IT之家学院:让你的微信号变成自动聊天机器人
  18. 【SeedLab】ARP Cache Poisoning Attack Lab
  19. 006. 分割回文串
  20. 槐香拂过,你如期而至

热门文章

  1. 计算机硬件与软件教学反思,计算机硬件教学反思.doc
  2. 一种基于优先级轮询调度负载均衡的crossbar结构
  3. 首批!智领云CTO宋文欣入选“开源GitOps产业联盟技术委员会”成员名单
  4. ILM --interface logic model
  5. 【转】Java-满天繁星案例
  6. Python 3,4行代码实现去除图片背景色,从此告别PS!!
  7. 12_STM32Cubeide开发_USB从设备串口驱动程序
  8. 好佳居软装十大品牌 软装这些知识我们要知道
  9. 10_07【Java】Map集合详述
  10. 赵小楼《天道》《遥远的救世主》深度解析(4)从肖亚文引申怎么看待随缘、惜缘、攀缘这三种缘?