⑴ 脱壳能获得源代码吗
加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段.
加壳过的程序可以直接运行,但是不能查看源代码.要经过脱壳才可以查看源代码.
加“壳”其实是利用特殊的算法,对EXE、DLL文件里的资源进行压缩。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。解压原理,是加壳工具在文件头里加了一段指令,告诉CPU,怎么才能解压自己。加“壳”虽然增加了CPU附带但是减少了硬盘读写时间,实际应用时加“壳”以后程序运行速度更快(当然有的加“壳”以后会变慢,那是选择的加“壳”工具问题)。
一般软件都加“壳”这样不但可以保护自己的软件不被破解、修改还可以增加运行时启动速度。
加“壳”不等于木马,我们平时的巨大多数软件都加了自己的专用“壳”。
RAR和ZIP都是压缩软件不是加“壳”工具,他们解压时是需要进行磁盘读写,“壳”的解压缩是直接在内存中进行的,用RAR或者ZIP压缩一个病毒你试试解压缩时杀毒软件肯定会发现,而用加“壳”手段封装老木马,能发现的杀毒软件就剩不下几个。
因为加壳了之后等于把这个文件进行了保护(就是有些杀毒软件杀不了的原因)
因为文件不能重复加壳.判断依据是文件是否已经加了保护
加壳其实主要就有两个作用:
防止反编译(破解软件)和免杀
修改文件不一定要脱壳,看你的水平
些软件加壳工具
1、软件防盗版战士
《软件防盗版战士》是一个以数字许可的形式为MicrosoftWindows下(PE格式)应用程序提供版权保护以及数字化销售支持的纯软件产品。它含有认证版、序列号版这两个可选版本。认证版以128位二进制证书文件作为被保护软件的最终用户使用许可,并且主要以最终用户的硬盘、CPU、网卡及操作系统等特征信息为版权保护的安全源(保守地说,理论上认证版的版权保护强度达到3-5年内不可破解)。
安全指标:1、对象安全强度——《软件防盗版战士》的各种对象安全都尽可能地加入了加密算法中,其强度相当于对称算法的128位加密,比普通硬件狗的8位、16位、32位和64位(很少有64位的)安全强度强许多。2、入口安全强度——《软件防盗版战士》采用功能相关法解决入口安全问题。入口安全的最小复杂度大于40位的安全强度。《软件防盗版战士》的入口安全强度最大限定为128位(含128位)。
2、比泰软件防盗版战士2005J
比泰软件防盗版战士2005J(BS-APC),是比泰科技出品的一个软件加密保护产品系列(含L版、A版、J版等产品线),它们为商业软件提供可靠的防盗版保护并支持数字化发行。|它采用比泰公司世界领先的“执行代码抽取加密”技术,软硬件结合,以“认证技术”保证软件“对象安全”、以“功能相关法”保证软件“入口安全”、以具有唯一性的计算机(物理)特征数据作为身份认证指纹,并以软件用户计算机本身的运算能力进行防盗版保护。具有64位以上,到128位的加密安全强度。安全强度远胜传统的外壳加密式加密狗、API内嵌式加密狗,软件保护的功能范围及运行效率超过智能狗,且无须学习加密狗编程,不引入附加硬件维护问题。|适合对C/MFC/VisualC++(VC++)/BorlandC++Builder(BCB)、Delphi/ObjectPascal、PowerBuilder(PB)、Authorware、Director等开发工具所编译程序的保护。|因为它是对真实指令进行代码抽取加密,因此暂不保护伪编译程序,如VB、VFP、C#、java。
3、AntiCrackProtector
ACProtect是由国人研究开发并拥有自主知识产权的加密软件精品,它有许多技术已经达到并超过了国外同类产品,是一个为Windows下的EXE/DLL/OCX/SCR等32位可运行文件加密系统。它通过为程序加上一层坚硬的保护壳,可以非常有效的防止盗版。还可以为程序设置限制注册功能。
即使你没有程序的原代码,你也可以用ACProtect在程序上加上运行次数限制,运行天数限制,运行有效日期限制。通过公匙加密算法(RSA)创建并校验注册KEY,只有在RSAKEY正确的情况下,才对那些受保护的代码进行正常解码。同时使用了内嵌式加密,可以有效的防止加密软件从内存中被抓取,也就是无法被脱壳。
内置反调试引擎,有效的增加了破解的难度。
专用的API系统,可以使ACProtect和你的软件紧密的接合在一起,这样,你就可以通过使用ACProtect来创建你的全功能评估版。
4、XQBOX软件保护安装系统
XQBoxSoftwareProtecting是一个以数字许可的形式为应用程序提供版权保护以及数字化销售支持的纯软件产品。它采用机器具有唯一性的数据做指纹,利用宿主计算机的运算能力进行防盗版保护。
XQBox保护系统是集软件保护和安装工具于一身的集成工具。XQBox核心代码是遵守标准c的规则来编写,它可以在,windows3.x/9x/2000/nt,unix,linux等各种操作系统下编译运行。作为中间件,它可在c、c++、java、delphi、vc、vb、vf、Masm32、pb、php、Authorware等。各种工具开发的软件中嵌入使用,它的兼容性非常好。核心代码经全域均匀抽值测试,各种特值测试和可行的全域测试均通过。
5、秦赢甲胄反盗版加密软件
这款反盗版软件的用户注册方便,终端用户不需要手动输入序列号认证码等等,一切由注册端软件自动完成;用户机器的硬件信息作为注册码/加密密钥;一个拷贝只能在同一台机器上注册;只要是同一台机器,可以在这台机器上注册多次;只能在注册的那台机器上运行
使用理论上安全的密码学协议和算法,保证不可脱机破解。不能通过注册机破解;不能通过散发序列号破解。
更改检测(可以检测病毒和破解者更改);反跟踪功能(Anti-Debug)。
运行时代码完整性校验,可防止Cracker跟踪时设置断点;可防止通过补丁程序破解。
反Dump功能(Anti-Dump);反反汇编功能(Anit-Disassembler);可以有效的管理经销商和序列号的发放;可以统计软件的销售数量;可以有效的管理用户注册。
6、PE加密保护软件EncryptPE
EncryptPE能加密保护常规PE文件(EXE、DLL、OCX等一般程序或NT服务程序),防静态分析修改,反动态跟踪调试,有效地保护软件,防止盗版。除常规的对抗调试器(SoftIce、TRW、OllyDbg等)、监视器、DUMP工具方法外,EncryptPE采用的加密保护的手段还有:随机加密算法、CRC校验、变形、代码替换、进程注入、APIHOOK、多线程、调试运行、全程监控等。
能将普通软件变成共享软件,增加定时注册提醒、限制试用日期、限制试用次数、限制试用天数、限制每次试用多长时间等功能。
能根据最终用户的机器信息、注册用户及加密时的保护密码计算注册码,从诸多加密算法中随机选择一种用于注册码的计算。
支持多语言,并为待加密软件提供多语言接口。
向待加密软件提供丰富的方便的编程接口,便于设计个性注册方式,同时使被加密程序与加密壳之间融为一个整体,增加破解难度。
可以运行于多种Windows平台,包括9X/ME/NT/2000/XP/2003。
7、注册码生成器
本软件可以自动随机生成2至32位注册序列号及对应的注册码,并将这些注册信息包含到一个动态联接库DLL文件中,这样软件开发者可以将这个DLL文件同应用程序一并发行,并在应用程序的相关模块中调用这个DLL文件中提供的函数获得注册号及相对应的注册码,注册号及相对应的注册码对软件使用者来说是不透明的,它可以用效的避免软件的盗版及其重复注册,切实保护软件开发者的版权。随软件一同提供免费的DLL源程序生成器工具,DLL注册码查询工具,启动应用程序时的注册对话框示例程序及全部C++源代码等。
8、计算机软件防盗版
计算机软件防盗版系统具有国际领先水平的保护知识产权的新技术。现该技术已顺利完成了全部研制。利用嵌入式加密,动态激活解密,工具化设计特征,检测体系,产品形态技术。于1999年7月通过公安部计算机信息安全检测中心的检测。计算机软件防盗版磁盘、光盘获公安部颁发的计算机信息安全产品销售许可证。
⑵ 绋嫔簭鑴卞3鏄浠涔堟剰镐濓纻
澹崇殑姒傚康锛
镓璋撯滃3钬濆氨鏄涓挞棬铡嬬缉镄勫伐鍏枫
杩欓噷镄勫帇缂╁苟涓嶆槸鎴戜滑骞虫椂浣跨敤镄凴AR銆乑IP杩欎簺宸ュ叿镄勫帇缂╋纴澹崇殑铡嬬缉鎸囩殑鏄阍埚筫xe銆乧om銆佸拰dll绛夌▼搴忔枃浠惰繘琛屽帇缂╋纴鍦ㄧ▼搴忎腑锷犲叆涓娈靛傚悓淇濇姢灞傜殑浠g爜锛屼娇铡熺▼搴忔枃浠朵唬镰佸け铡绘湰𨱒ラ溃鐩锛屼粠钥屼缭鎶ょ▼搴忎笉琚闱炴硶淇鏀瑰拰鍙岖紪璇戯纴杩欐靛傚悓淇濇姢灞傜殑浠g爜锛屼笌镊铹剁晫锷ㄦ岖墿镄勫3鍦ㄥ姛鑳戒笂链夊緢澶氱浉浼肩殑鍦版柟锛屾墍浠ユ垜浠灏卞舰璞″湴绉颁箣涓虹▼搴忕殑澹炽
澹崇殑浣灭敤锛
1.淇濇姢绋嫔簭涓嶈闱炴硶淇鏀瑰拰鍙岖紪璇戙
2.瀵圭▼搴忎笓闂ㄨ繘琛屽帇缂╋纴浠ュ噺灏忔枃浠跺ぇ灏忥纴鏂逛究浼犳挱鍜屽偍瀛樸
澹冲拰铡嬬缉杞浠剁殑铡嬬缉镄勫尯鍒鏄
铡嬬缉杞浠跺彧鑳藉熷帇缂╃▼搴
钥岀粡杩囧3铡嬬缉钖庣殑exe銆乧om鍜宒ll绛夌▼搴忔枃浠跺彲浠ヨ窡姝e父镄勭▼搴忎竴镙疯繍琛
涓嬮溃𨱒ヤ粙缁崭竴涓妫娴嫔3镄勮蒋浠
PEID v0.92
杩欎釜杞浠跺彲浠ユ娴嫔嚭 450绉嶅3
鏂扮増涓澧炲姞䦅呮瘨镓鎻忓姛鑳斤纴鏄鐩鍓嶅悇绫绘煡澹冲伐鍏蜂腑锛屾ц兘链寮虹殑銆
鍙﹀栬缮鍙璇嗗埆鍑篍XE鏂囦欢鏄鐢ㄤ粈涔堣瑷缂栧啓镄刅C++銆丏elphi銆乂B鎴朌elphi绛夈
鏀鎸佹枃浠跺す镓归噺镓鎻
鎴戜滑鐢≒EID瀵筫asymail.exe杩涜屾壂鎻
镓惧埌澹崇殑绫诲瀷浜
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
璇存槑鏄疷PX镄勫3
涓嬮溃杩涜
姝ラ2 鑴卞3
瀵逛竴涓锷犱简澹崇殑绋嫔簭锛屽幓闄ゅ叾涓镞犲叧镄勫共镓颁俊鎭鍜屼缭鎶ら檺鍒讹纴鎶娄粬镄勫3鑴卞幓锛岃В闄や吉瑁咃纴杩桦师杞浠舵湰𨱒ョ殑闱㈢洰銆傝繖涓杩囩▼灏卞彨锅氲㔉澹炽
鑴卞3鎴愬姛镄勬爣蹇
鑴卞3钖庣殑鏂囦欢姝e父杩愯岋纴锷熻兘娌℃湁鎹熻椼
杩樻湁涓鑸鑴卞3钖庣殑鏂囦欢闀垮害閮戒细澶т簬铡熸枃浠剁殑闀垮害銆
鍗充娇钖屼竴涓鏂囦欢锛岄噰鐢ㄤ笉钖岀殑鑴卞3杞浠惰繘琛岃㔉澹筹纴鐢变簬鑴卞3杞浠剁殑链虹悊涓嶉氾纴鑴卞嚭𨱒ョ殑鏂囦欢澶у皬涔熶笉灏界浉钖屻
鍏充簬鑴卞3链夋坠锷ㄨ㔉澹冲拰镊锷ㄨ㔉澹
镊锷ㄨ㔉澹冲氨鏄鐢ㄤ笓闂ㄧ殑鑴卞3链鸿㔉 寰堢亩鍗 鎸夊嚑涓嫔氨 OK浜
镓嫔姩鑴卞3鐩稿硅嚜锷ㄨ㔉澹 闇瑕佺殑鎶链钖閲忓井楂 杩欓噷涓嶅氲翠简
UPX鏄涓绉嶅緢钥佽屼笖寮哄ぇ镄勫3 涓嶈繃瀹幂殑鑴卞3链洪殢澶勫氨鑳芥垒鍒
UPX链韬绋嫔簭灏卞彲浠ラ氲繃
UPX 鏂囦欢钖 锛峝
𨱒ヨВ铡嬬缉 涓嶈繃杩欎簺闇瑕佺殑 锻戒护绗︿腑杈揿叆
浼樼偣鏂逛究蹇鎹 缂虹偣DOS鐣岄溃
涓轰简璁╁ぇ瀹剁渷铡婚夯鐑︾殑镎崭綔 灏变骇鐢熶简涓绉嶅彨 UPX SHELL镄勫栧3杞浠
UPX SHELL v3.09
UPX 澶栧3绋嫔簭锛
鐩镄勮︰PX镄勮㔉澹冲姞澹冲偦鐡滃寲
娉锛氩傛灉绋嫔簭娌℃湁锷犲3 闾d箞鎴戜滑灏卞彲浠ョ渷铡荤浜屾ョ殑鑴卞3浜嗭纴鐩存帴瀵硅蒋浠惰繘琛屽垎鏋愪简銆
鑴卞畬钖 鎴戜滑杩涜
姝ラ3
杩愯岀▼搴
灏濊瘯娉ㄥ唽
銮峰彇娉ㄥ唽鐩稿叧淇℃伅
阃氲繃灏濊瘯娉ㄥ唽 鎴戜滑鍙戠幇涓涓鍏抽敭镄勫瓧绗︿覆
钬滃簭鍒楀彿杈揿叆阌栾钬
姝ラ4
鍙嶆眹缂
鍙嶆眹缂栦竴鑸鐢ㄥ埌镄勮蒋浠 閮芥槸 W32Dasm
W32dasm瀵逛簬鏂版坠 鏄扑簬涓婃坠 镎崭綔绠鍗
W32Dasm链夊緢澶氱増链 杩欓噷鎴戞帹钻愪娇鐢 W32Dasm 镞犳瀬鐗
鎴戜滑鐜板湪鍙嶆眹缂朩ebEasyMail镄勭▼搴忔枃浠秂asymail.exe
铹跺悗鐪嬬湅鑳戒笉鑳芥垒鍒板垰镓岖殑瀛楃︿覆
姝ラ5
阃氲繃eXeScope杩欎釜杞浠舵潵镆ョ湅链鑳藉湪w32dasm涓姝g‘鏄剧ず镄勫瓧绗︿覆淇℃伅
eXeScope v6.50
镟存敼瀛椾綋锛屾洿鏀硅彍鍗曪纴镟存敼瀵硅瘽妗嗙殑鎺掑垪锛岄吨鍐椤彲镓ц屾枃浠剁殑璧勬簮锛屽寘𨰾(EXE锛娈LL锛孙CX锛夌瓑銆傛槸鏂逛究寮哄ぇ镄勬眽鍖栧伐鍏凤纴鍙浠ョ洿鎺ヤ慨鏀圭敤 VC++ 鍙 DELPHI 缂栧埗镄勭▼搴忕殑璧勬簮锛屽寘𨰾凿滃崟銆佸硅瘽妗嗐佸瓧绗︿覆琛ㄧ瓑
鏂扮増鍙浠ョ洿鎺ユ煡鐪 锷犲3鏂囦欢镄勮祫婧
鎴戜滑镓揿紑eXeScope
镓惧埌濡备笅瀛椾覆绗
122,"搴忓垪鍙疯緭鍏ラ敊璇 "
123,"鎭锽沧偍鎴愪负WebEasyMail姝e纺鐢ㄦ埛涓镄勪竴锻! "
124,娉ㄥ唽鎴愬姛
125,澶辫触
閲岖偣鏄122
姝ラ6
鍐嶆¤繑锲 w32dasm
* Possible Reference to String Resource ID=00122: "?椴筫�?"
浣嗘槸鍙屽嚮钖
鎻愮ず璇存垒涓嶅埌杩欎釜瀛椾覆绗
涓嶆槸娌℃湁 鏄锲犱负 "?椴筫�?"鏄涔辩爜 w32dasm瀵逛簬涓鏂囨樉绀轰笉鏄澶濂
姣旷珶涓嶆槸锲戒骇杞浠
鍏堟妸浠婂ぉ浼氱敤鍒扮殑姹囩紪锘烘湰鎸囦护璺熷ぇ瀹惰В閲娄竴涓
mov a,b ;鎶奲镄勫艰祴缁檃锛屼娇a锛漛
call 锛氲皟鐢ㄥ瓙绋嫔簭 锛屽瓙绋嫔簭浠ret缁扑负
ret 锛氲繑锲炰富绋嫔簭
je鎴杍z 锛氲嫢鐩哥瓑鍒栾烦杞
jne鎴杍nz 锛氲嫢涓岖浉绛夊垯璺宠浆
push xx锛歺x 铡嬫爤
pop xx锛歺x 鍑烘爤
镙堬纴灏辨槸闾d簺鐢辩紪璇戝櫒鍦ㄩ渶瑕佺殑镞跺椤垎閰嶏纴鍦ㄤ笉闇瑕佺殑镞跺栾嚜锷ㄦ竻妤氱殑鍙橀噺镄勫瓨鍌ㄥ尯銆傞噷闱㈢殑鍙橀噺阃氩父鏄灞閮ㄥ彉閲忋佸嚱鏁板弬鏁扮瓑銆
鎴戜滑鎼灭储
Possible Reference to String Resource ID=00122
锲犱负瀵笶鏂囨敮鎸佸緢濂
鎴戜滑𨱒ュ埌浜
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00406F17(C) //璺宠浆𨱒ヨ嚜 406F17
|
* Possible Reference to String Resource ID=00125: "1%"
|
:004070DD 6A7D push 0000007D
:004070DF 8D4C2410 lea ecx, dword ptr [esp+10]
:004070E3 E8F75A1200 call 0052CBDF
* Possible Reference to String Resource ID=00122: "?椴筫�?"
|
:004070E8 6A7A push 0000007A
:004070EA 8D4C2408 lea ecx, dword ptr [esp+08]
:004070EE E8EC5A1200 call 0052CBDF
鎴戜滑𨱒ュ埌
:00406F01 8B876C080000 mov eax, dword ptr [edi+0000086C]杩欓噷鏄瀵
:00406F07 8B4C2408 mov ecx, dword ptr [esp+08]
:00406F0B 50 push eax//杩欎袱涓猠ax鍜宔cx鍏ユ爤灏辨瘆杈冭╂垜浠镐鐤戜简
:00406F0C 51 push ecx//浜х敓娉ㄥ唽镰
:00406F0D E8AE381100 call 0051A7C0//杩机ALL閲屽规敞鍐屼綅搴旇ヤ细链夎剧疆
:00406F12 83C40C add esp, 0000000C
:00406F15 85C0 test eax, eax// 妫娴嬫敞鍐屼綅
:00406F17 0F85C0010000 jne 004070DD //涓嶅瓨鍦ㄦ敞鍐屼綅 灏变细璺冲埌4070DD灏变细鍑虹幇闾d釜阌栾镄勫瓧涓茬︿简
鎴戜滑璁颁綇406F01杩欎釜鍦板潃
鎺ョ潃杩涜屼笅涓姝
姝ラ7
杩欎竴姝ユ垜浠杩涜岀殑鏄璋冭瘯
鐢ㄥ埌镄勮蒋浠舵槸ollydbg
濂戒简鎴戜滑镓惧埌浜 娉ㄥ唽镰0012AF04 00FD4A10 ASCII ""
浣嗘槸杩欎釜骞朵笉鏄鎴戜滑镄勪富瑕佺洰镄
鎴戜滑杩樿佸仛鍑哄睘浜庤嚜宸辩殑娉ㄥ唽链
鐩镐俊杩欎釜鏄寰埚氢汉姊﹀瘣浠ユ眰镄勪簨𨱍
姝ラ8
鍒朵綔娉ㄥ唽链
娉ㄥ唽链烘垜浠闇瑕佺殑鏄涓涓狵EYMAKE镄勮蒋浠
锲犱负2.0鏄婕旂ず鐗堣屼笖锅沧㈡洿鏂颁简
镓浠ユ垜浠鐢1.73鐗
锅氢竴涓鍐呭瓨娉ㄥ唽链 闇瑕佷笅闱㈠嚑涓璧勬枡
涓鏂鍦板潃锛406F0C
涓鏂娆℃暟锛1
绗涓瀛楄妭锛51
鎸囦护闀垮害锛1
濂戒简 涓涓瀹岀编镄勬敞鍐屾満 灏变骇鐢熶简
杩树笉璧跺揩鍙戠粰浣犵殑链嫔弸 镣钥涓涓
淇濊瘉璁╀粬杩风硦姝 浣╂湇寰椾綘瑕佹
鍏跺疄链钖庤缮链夊嚑涓姝ラ
灏辨槸鎾板啓镰存枃
涓嶈繃澶у堕兘鏄鏂版坠 杩欎釜姝ラ 灏卞幓浜嗗惂
涓岖煡涓嶈夎翠简杩欎箞澶氩帘璇 甯屾湜鑳藉瑰ぇ瀹舵湁浜涗綔鐢
濡傛灉链変粈涔堜笉镍 涓岖悊瑙g殑浜嬫儏 璇疯仈绯绘垜 鎴栬呭埌璁哄潧鍙戣创
QQ:9595859
MSN:[email protected]
浠婂ぉ镄勮剧▼灏卞埌杩欓噷 澶у惰刀蹇铡诲姩镓嫔疄璺靛惂锝烇紒
--------------------------------------------------------------------------------
-- 浣滆咃细admin
-- 鍙戝竷镞堕棿锛2005-10-11 11:13:00
-- 瀹炴垬镆ュ3鑴卞3鍒朵綔镰磋В娉ㄥ唽链烘渶璇︾粏镄勬暀绋
澶у跺ソ锛屾垜鏄痥carhc
浠婂ぉ8链1镞ヤ简 鍒氢粠鍖婚櫌锲炴潵 姝eソ鍑屾櫒
杩欐湡镄勮剧▼锅氭櫄浜 杩欓噷缁椤ぇ瀹堕亾涓姝
8链1镞 濡傛灉鎴戞病璁伴敊
鏄寤哄啗鑺
镞㈢劧鏄寤哄啗鑺 涔熻佽薄寰佹х殑寮勪簺涓滆タ𨱒
涓轰简寤哄啗鑺 杩欐湡鎴戦夋嫨镓揿嚮榛戞殚锷垮姏锛嶏紞榛戠ぞ浼
闾d箞浠婂ぉ镄勪富棰桦氨鏄
锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛
杩庢帴寤哄啗鑺傦纴阈查櫎榛戠ぞ浼
锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛
棣栧厛浠嬬粛杞浠
榛戠ぞ浼2.0
[锷熻兘绠浠媇:
1 浜斿ぇ蹇呭囧姛鑳
杩灭▼灞忓箷; 瀹屽叏鎺у埗; 鏂囦欢浼犻; Telnet; 杩灭▼鍏虫満
2 鎻愪緵IP鍙嶅脊瀹氢綅锷熻兘
鍙浠ラ氲繃闱欐両P锷ㄦ佸烟钖,缃戦〉鏂囦欢镄勬柟寮忓弽寮归氱煡IP.
3 闆嗘垚vidc瀹㈡埛绔
鍐呯绣镄勬湅鍙嬫兂鐢ㄨ嚜锷ㄤ笂绾垮姛鑳,鍙浠ュ疄鐜颁简
4 链杞浠堕泦鎴愪简甯哥敤鏀诲嚮宸ュ叿(濡侽penTelnet OpenTftp绛)
阃氲繃IPC𨰾疯礉,钥屼笖甯︽湁镙囧嗳镄勬嫹璐濊繘搴,鍏ㄧ悆棣栨¢溃涓;
opentelnet灏变笉浠嬬粛浜,鐩镐俊澶у堕兘鐭ラ亾;
opentftp涓烘湰杞浠剁嫭鍒,鍙浠ヨ繙绋嫔紑钖痶ftp链嶅姟;
5 链杞浠堕泦鎴愮殑鏋侀熺鍙f壂鎻忓櫒(镓鎻忛熷害涓栫晫棰嗗厛)
链寮濮嬫垜鐢ㄧ殑镓鎻忓櫒鏄澶у悕榧庨紟镄凷uperScan3.0,镒熻夐熷害寰堟参;
钖庢潵鏀圭敤SSPort1.0 镓鎻忛熷害链変简鏄庢樉镄勬彁楂.
缁忚繃阃熷害瀵规瘆,链杞浠舵壂鎻忛熷害姣掷SPort蹇 1/3 ,鏄疭uperScan镄凬鍊!!!
鎴戠殑链哄櫒鏄 璧涙壃700+256M鍐呭瓨,涓鑸镓鎻忛熷害涓180鍙/绉;
涓浜涘彿绉板彲浠ヨ揪鍒1000鍙/绉掔殑镓鎻忓櫒鍦ㄦ湰链轰笂璇曢獙鍙链120鍙/绉.
锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞
鍑嗗囧伐浣滐细
瀹夎呴粦绀句细
锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞
姝ラや竴 镆ュ3
Peid v0.92
ASPack 2.12 -> Alexey Solodovnikov銆
锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞
姝ラや簩 鑴卞3
镓嫔姩鑴卞3
蹇阃熻㔉鎺堿SPACK镓链夌増链镄勬柟娉
镄凮EP鍏抽敭镣瑰湪涓嬮溃
0048D3AF 61 POPAD
0048D3B0 75 08 JNZ SHORT 榛戠ぞ浼.0048D3BA
0048D3B2 B8 01000000 MOV EAX,1
0048D3B7 C2 0C00 RETN 0C//402c4a
0048D3BA 68 00000000 PUSH 0
402ca4灏辨槸鎴戜滑瑕佹垒镄凮EP
镊锷ㄨ㔉澹
AspackDie v1.41
杩欐槸涓涓灏忓皬镄 PE 鏂囦欢瑙e帇缂╁櫒 (EXE, DLL, ...) 濂瑰彲浠ヨВ铡嬬缉
镊 Aspack 2000 浠ュ悗镄勪换浣 Aspack 鐗堟湰. 鍖呮嫭:
- Aspack 2000
- Aspack 2001
- Aspack 2.1
- Aspack 2.11
- Aspack 2.11c/d
- Aspack 2.12
- Aspack 2.12a/b
- 涓浜涙湭鐭ョ殑鐗堟湰
锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛
姝ラや笁 璇曡繍琛岀▼搴 鍙戠幇绐佺牬镣
鐪嫔埌鍏抽敭瀛楃︿覆
钬沧敞鍐岀爜阌栾!钬
锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛
姝ラゅ洓 W32DASM 瀵绘垒绐佺牬镣
鐢╳32dasm杞藉叆宸茬粡鑴卞3镄勭▼搴
瀛楃︿覆瀵熺湅
链鍙戠幇 瀛楃︿覆 钥屾槸鍙戠幇涓鍫嗕贡镰
澶у朵簬鏄涓瀹氭兂鍒颁简绗涓鑺傜殑锷炴硶
鐢‥XESCOPE
锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛
姝ラゅ洓 瀵熸垒 瀛楃︿覆
镓揿紑eXeScope 骞惰浇鍏 浣嗘槸鍙戠幇 閮芥病链夊瓧绗︿覆
杩欓”
涓哄暐锻锛熷ぇ瀹朵竴瀹氢细鐤戦梾
涓鑸鐢╡XeScope镆ヤ笉鍒
鎴戜滑灏嗗紑濮
锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛
姝ラや簲 镆ヨ㈣蒋浠剁殑缂栬疟绫诲瀷
Peid v0.92
Microsoft Visual Basic 5.0 / 6.0
锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞
姝ラゅ叚 閲囩敤GetVBRes v0.51 瀵逛粯VB绋嫔簭
GetVBRes v0.51 涓涓闱炲父濂界殑VB姹夊寲宸ュ叿
瀵逛簬VB绋嫔簭 鎴戜滑鐢ㄤ笓闂ㄦ眽鍖栫敤镄凣etVBRes v0.51𨱒ュ逛粯瀹
涔熻告湁浜轰笉鐞呜В 涓哄暐鐢ㄦ眽鍖栧伐鍏峰憿
鍏跺疄eXeScope涔熷睘浜庢眽鍖栧伐鍏
GetVBRes杞藉叆榛戠ぞ浼
鍙戠幇娌℃湁涔辩爜浜
鐪嫔埌镄勫叏鏄瀹屾暣镄勫瓧绗
鎴戜滑镓惧埌浜
娉ㄥ唽镰侀敊璇!
杩欎釜瀛楃︿覆
鎺ョ潃涓轰简鑳芥闷鍒扮▼搴忓叧阌镣瑰湴鍧
鎴戜滑鎶娾沧敞鍐岀爜阌栾!钬
鏀规垚111111
涓哄暐鏀规垚111111锲犱负111111111
淇濆瓨淇鏀
锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛
姝ラゅ叚 鐢╓32Dasm杞藉叆淇鏀瑰悗镄勬枃浠
鍙戠幇瀛楃︿覆涓链111111
闾d釜灏辨槸鎴戜滑淇鏀圭殑 铡熸潵鏄钬沧敞鍐岀爜阌栾!钬
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004792EF(C)
|
:00479474 B904000280 mov ecx, 80020004
:00479479 B80A000000 mov eax, 0000000A
:0047947E 894D9C mov dword ptr [ebp-64], ecx
:00479481 894DAC mov dword ptr [ebp-54], ecx
:00479484 894DBC mov dword ptr [ebp-44], ecx
:00479487 8D5584 lea edx, dword ptr [ebp-7C]
:0047948A 8D4DC4 lea ecx, dword ptr [ebp-3C]
:0047948D 894594 mov dword ptr [ebp-6C], eax
:00479490 8945A4 mov dword ptr [ebp-5C], eax
:00479493 8945B4 mov dword ptr [ebp-4C], eax
* Possible StringData Ref from Code Obj ->"1111111" //鍒氭墠鎴戜滑鐪嫔埌镄勬敞鍐屽悧阌栾镄勫摝
|
:00479496 C7458C98194100 mov [ebp-74], 00411998
:0047949D C7458408000000 mov [ebp-7C], 00000008
鍙戠幇璺宠浆𨱒ヨ嚜鍒4792EF
瀹夌収涔犳傥 鎴戜滑𨱒ュ埌4792EF钖 鎺ョ潃钖戝墠鐪
鐪嫔埌涓涓璺冲埌杩欓噷镄勯偅涓鍦板潃
杩欓噷鏄40928C
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00479278(C)
|
:0047928C 8B55E4 mov edx, dword ptr [ebp-1C]
* Reference T MSVBVM60.__vbaStrMove, Ord:0000h
|
:0047928F 8B3578124000 mov esi, dword ptr [00401278]
:00479295 8D4DE0 lea ecx, dword ptr [ebp-20]
:00479298 895DE4 mov dword ptr [ebp-1C], ebx
:0047929B FFD6 call esi
:0047929D 8B4DE8 mov ecx, dword ptr [ebp-18]
:004792A0 6A01 push 00000001
:004792A2 8D55E0 lea edx, dword ptr [ebp-20]
:004792A5 51 push ecx
:004792A6 52 push edx
:004792A7 E8440F0000 call 0047A1F0
:004792AC 8BD0 mov edx, eax
:004792AE 8D4DDC lea ecx, dword ptr [ebp-24]
:004792B1 FFD6 call esi
:004792B3 50 push eax
:004792B4 53 push ebx
* Reference T MSVBVM60.__vbaInStr, Ord:0000h
|
:004792B5 FF15E8114000 Call dword ptr [004011E8]
:004792BB 8BF0 mov esi, eax
:004792BD 8D45E8 lea eax, dword ptr [ebp-18]
:004792C0 F7DE neg esi
:004792C2 8D4DDC lea ecx, dword ptr [ebp-24]
:004792C5 50 push eax
:004792C6 1BF6 sbb esi, esi
:004792C8 8D55E0 lea edx, dword ptr [ebp-20]
:004792CB 51 push ecx
:004792CC 52 push edx
:004792CD F7DE neg esi
:004792CF 6A03 push 00000003
:004792D1 F7DE neg esi
* Reference T MSVBVM60.__vbaFreeStrList, Ord:0000h
|
:004792D3 FF150C124000 Call dword ptr [0040120C]
:004792D9 8D45D4 lea eax, dword ptr [ebp-2C]
:004792DC 8D4DD8 lea ecx, dword ptr [ebp-28]
:004792DF 50 push eax
:004792E0 51 push ecx
:004792E1 6A02 push 00000002
* Reference T MSVBVM60.__vbaFreeObjList, Ord:0000h
|
:004792E3 FF1548104000 Call dword ptr [00401048]
:004792E9 83C41C add esp, 0000001C
:004792EC 663BF3 cmp si, bx
:004792EF 0F847F010000 je 00479474
鎴戜滑鍦
004792AC鐪嫔埌涓嬮溃杩欎簺
EAX=0015A47C, (UNICODE "")
EDX=00000000
镐鐤慐AX涓虹殑
涓烘敞鍐岀爜
锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞
姝ラや竷 鐢ㄤ笉纭瀹氭g‘镄勬敞鍐 灏濊瘯娉ㄥ唽
鐢
杩欎釜娉ㄥ唽钖
鎴戜滑鍙戠幇 娉ㄥ唽鎴愬姛
锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞
姝ラゅ叓 鍒跺仛娉ㄥ唽链
Keymake v1.73
涓鏂鍦板潃锛4792AC
涓鏂娆℃暟锛1
绗涓瀛楄妭锛8B
鎸囦护闀垮害锛2
锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞
姝ラや节 鍙戝竷娉ㄥ唽链
镓句竴涓缃戠珯姣斿傞粦锘烘垨钥呬綘镄勬湅鍙嬩箣闂
锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞
姝ラゅ崄 浼戞伅
榛戠ぞ浼氱粓浜庡共鎺変简
鐜板湪铡绘垒浣犵殑鐢锋湅鍙嬫垨钥呭コ链嫔弸
钥佸叕鎴栬呰佸﹩
镓句釜鍦版柟镵婅亰澶 鏀炬涧鏀炬涧
锻婅瘔浠栦滑 浣犲垰鍒氭妸榛戠ぞ浼 鎽嗗钩浜
涓瀹氩緢链夎叮镄
锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞
璇剧▼缁撴潫
锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞锛嶏紞
链変簨𨱍呭ぇ瀹跺彲浠ュ幓璁哄潧
涓嶈繃浣犲傛灉镐у瓙镐
鎴栬呭珜鎴戝洖澶岖殑阃熷害鎱
鎴戝缓璁浣犵洿鎺ヨ仈绯绘垜
鍙瑕佹垜鍦 锘烘湰鍙浠ラ┈涓婄粰浣犺В绛
涓嶅湪鍙浠ョ暀瑷
鎴戠殑涓や釜镵旂郴鏂瑰纺
QQ:9595859
MSN:[email protected]
链钖 璇翠竴涓浜
鎴戠殑濂虫湅鍙嬫渶杩戠敓䦅呬简
镓浠ユ墠瀵艰嚧杩欐湡镄勮剧▼ 杩欎箞鏅氭墠锅氩嚭𨱒
甯屾湜澶у惰兘鐞呜В鎴
鎴戣缮甯屾湜澶у惰兘绁濈忓ス镞╂棩搴峰
涓岖劧镄勮瘽
浣犱滑瑙佸埌鎴戠殑镞ュ瓙鍙鑳戒细灏戜简
鐢氲呖鍙鑳戒细娑埚け鍦ㄤ綘浠鐪煎墠
濂戒简涓嶈翠简 浠婂ぉ灏辨槸鍒版OVER钖
---------- kcarhc
2004骞8链1镞 鍑屾櫒 娌堥槼
--------------------------------------------------------------------------------
-- 浣滆咃细admin
-- 鍙戝竷镞堕棿锛2005-10-11 16:42:00
-- 浣跨敤OllyDbg蹇阃熻㔉澹
浣滆咃细KU-鍑屻
鐩镙囷细閲囩敤ASPACK銆乁PX锷犲3镄凬OTEPAD.EXE
宸ュ叿锛歄llyDbg 1.09鑻辨枃鐗堛丏UMP鎻掍欢銆丳Editor
绯荤粺锛欧in98SE
鍏抽敭璇嶏细 鑴卞3銆丱llyDbg銆丱D銆丏UMP銆丳USHAD銆丳OPAD
棰勫囩煡璇
銆 澶у氭暟澹抽兘链変竴涓鍏卞悓镄勭壒镣广傚湪澹冲嗳澶囧紑濮嬭В铡嬫椂閮借佹墽琛孭USHAD锛屽綋澹宠В铡
瀹屾椂閮借佽皟鐢≒OPAD銆傚埌搴昉USHAD鍜孭OPAD鏄浠涔埚共浠涔堢敤镄勫憿锛熷叾瀹濸USHAD鏄鐢ㄦ潵灏
镓链夋櫘阃氩瘎瀛桦櫒椤哄簭杩涙爤镄勬寚浠わ纴POPAD鏄镓链夋櫘阃氩瘎瀛桦櫒椤哄簭鍑烘爤鎸囦护銆侾OPAD镄勫嚭
镙堥‘搴忓拰PUSHAD鐩稿弽銆傚3涓轰简淇濇姢瀵勫瓨鍣锛屼究鍦ㄨВ铡嫔墠灏嗘墍链夊瘎瀛桦櫒杩涙爤淇濇姢璧锋潵锛
褰撹В铡嫔畬鎴愬悗鍙埚皢瀵勫瓨鍣ㄥ嚭镙堬纴鎭㈠嶅叾铡熻矊锛屽苟灏咺P璁剧疆涓哄师绋嫔簭镄凮EP銆傝繖镙锋垜浠灏卞彲浠ラ氲繃杩欎釜鐗圭偣蹇阃熻㔉鎺夊氱嶈蒋浠剁殑澹炽
ASPACK绡
銆 鍏堢敤ASPACK灏哊OTEPAD.EXE锷犲3銆傜敤OllyDbg锛堜互涓嬬亩绉疠D锛夎浇鍏ャ傜湅瑙佸厜镙囧仠鍦
澹崇殑鍏ュ彛澶勚
0040D001 >銆60銆銆銆銆銆銆銆PUSHAD ;澹崇殑鍏ュ彛銆傚嗳澶囧紑濮嬭В铡嬶纴淇濇姢瀵勫瓨鍣
0040D002銆銆E8 03000000銆銆CALL銆銆NOTEPAD.0040D00A
钬︹
鎴戜滑涓岖″畠锛岀洿鎺ュ悜涓嬬炕椤垫垒POPAD鎸囦护銆傚湪40D3AF澶勬垒鍒癙OPAD
钬︹
0040D3AF銆銆61銆銆銆銆銆銆銆POPAD ;瑙e帇瀹屾垚锛屾仮澶嶅瘎瀛桦櫒
0040D3B0銆銆75 08銆銆銆銆銆JNZ銆銆SHORT NOTEPAD.0040D3BA
0040D3B2銆銆B8 01000000銆銆MOV銆銆EAX, 1
0040D3B7銆銆C2 0C00銆銆銆銆RETN銆銆0C
0040D3BA銆銆68 CC104000銆銆PUSH銆銆NOTEPAD.004010CC ;杩斿洖鍒板师绋嫔簭OEP澶
0040D3BF銆銆C3銆銆銆銆銆銆銆RETN
钬︹
阃夊畾40D3AF杩欎竴琛岋纴F4杩愯屽埌姝ゅ勚傚湪杩欓噷璇存槑澹冲凡缁忓畬鎴愯В铡嫔伐浣溿傚苟涓旇繑锲炲埌铡
绋嫔簭镄勫叆鍙e勚侳8鍗曟ュ埌4010CC锛岃繖閲屼究鏄铡熺▼搴忕殑OEP銆傜敤DUMP鎻掍欢鐩存帴DUMP鍑烘潵灏卞彲浠ヤ简锛埚湪DUMP镞舵敞镒忓皢鍏ュ彛镣规敼涓10CC锛屽嵆4010CC-400000=10CC锛400000鏄鏄犺薄锘哄湴鍧锛夈傛枃浠跺ぇ灏忔槸77059瀛楄妭锛岀敤PEditor閲嶅缓PE澶翠究鍙浠ヤ简銆傛湭铡嬬缉镄勬枃浠跺ぇ灏忔槸53248瀛楄妭锛岃㔉澹冲悗镄勬枃浠跺ぇ灏忔槸60930瀛楄妭銆
UPX绡
銆 鐢║PX灏哊OTEPAD.EXE锷犲3锛岀劧钖庣敤OD杞藉叆銆傚仠鍦≒USHAD澶勶纴鐢ㄨ㔉ASPACK钖屾牱镄勬柟
娉曪纴钖戜笅缈婚〉镓綪OPAD銆
钬︹
0040E9FE銆銆61銆銆銆銆銆銆銆POPAD
0040E9FF銆- E9 C826FFFF銆銆JMP銆銆NOTEPAD.004010CC
钬︹
涓嬮溃镄凧MP灏辨槸璺宠浆鍒扮▼搴忕殑OEP澶勚侳4鍒40E9FF澶勶纴F8鍗曟ヤ竴涓嬶纴𨱒ュ埌OEP澶勶纴DUMP鍑烘潵銆侱UMP鏂囦欢镄勫ぇ灏忔槸65536瀛楄妭锛岀洿鎺ュ氨鍙浠ヨ繍琛屻备负浜嗗畬缇庯纴鐢≒Editor閲嶅缓PE澶淬傞偅涔堣㔉澹冲悗镄勬枃浠跺ぇ灏忔槸60293瀛楄妭銆
钖庤
銆 鐢ㄤ笂闱㈣寸殑鏂规硶锛屽緢澶氱嶅3閮藉彲浠ュ揩阃熺殑镓嫔姩鑴辨帀銆傚傛灉浣犳病链塐D镄凞UMP鎻掍欢锛
鍙浠ュ埌鏂拌哄潧镄勪笅杞藉尯镓俱傚傛灉瀹炲湪娌℃湁锛屼篃鍙浠ョ洿鎺ュ仠鍦∣EP澶勭敤PEDump𨱒DUMP銆傚緢涔呮病链夊啓涓滆タ浜嗐傝繖涓绡囨槸鍐欑粰鍒濆﹁呯粌镓嬬殑銆傚叾瀹炲3涔熸槸杞浠讹纴鍐嶆庝箞澶嶆潅閮芥湁鍙鑳借鑴变笅𨱒ャ傜濅綘濂借繍銆
銆 鍙﹀栵纴杞杞芥椂璇蜂缭鎸佹湰鏂囩殑瀹屾暣銆
--------------------------------------------------------------------------------
-- 浣滆咃细admin
-- 鍙戝竷镞堕棿锛2005-10-11 17:10:00
-- 鐢∣llydbg镓嬭㔉EncryptPE V1.2003.5.18锷犲3镄凞LL
链夊厔寮熻╃湅鐪婨ncryptPE锷犲3镄凞LL锛屾垜璇存柊鐗堢殑灏变笉琛屼简锛屾闷涓嶅畾镄勚傚悗𨱒ョ湅鏄疎ncryptPE V1.2003.5.18镞х増锷犲3镄勶纴搴旇ョ敤镄勬槸钥佺帇钥佸笀鍙戝竷镄勫厤璐圭増銆傚懙锻碉纴镓浠ヨ㔉浜嗕竴涓嬶纴椤轰究璁板綍杩囩▼銆
澶у跺彲浠ヨ嚜宸辩敤EncryptPE V1.2003.5.18鍏嶈垂鐗埚姞涓狤drLib.dll鐪嬬湅銆
钬斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺
涓銆侀伩寮IAT锷犲瘑
璁剧疆Ollydbg蹇界暐镓链夌殑寮傚父阃夐”銆傜敤IsDebug 1.4鎻掍欢铡绘帀Ollydbg镄勮皟璇曞櫒镙囧织銆
娣诲姞钬滃悓镞跺拷鐣0EEDFADE銆丆0000008銆009B25C銆00953D74钬濆纾甯搞
浠g爜:--------------------------------------------------------------------------------
00877000 60 pushad//杩涘叆OD钖庡仠鍦ㄨ繖
00877001 9C pushfd
00877002 64:FF35 00000000 push dword ptr fs:[0]
00877009 E8 79010000 call EdrLib.00877187
--------------------------------------------------------------------------------
涓嬫柇锛欱P IsDebuggerPresent 鏂涓嫔悗鍙栨秷鏂镣
鐜板湪鎴戜滑Ctrl+G:711A0000
涓轰綍鐢ㄨ繖涓鍦板潃锛熷洜涓笃12003518.EPE鏄鐩稿悓镄勚傚懙锻碉纴阍讳简涓镞х増镄勭┖瀛愩
鍏跺疄鍙浠ュ啀BP GetProcAddress锛屾牴鎹杩斿洖鍦板潃𨱒ュ垽鏂銆傚傛灉杩斿洖鍦板潃鏄711XXXXX锛岃存槑杩欐槸V12003518.EPE镄勮皟鐢锛屽氨鍙浠ュ彇娑堟柇镣笴trl+F9杩斿洖浜嗐傚叿浣撴儏鍐典互鍫嗘爤镄勮繑锲炲湴鍧涓哄嗳銆
鐜板湪Ctrl+S 鍦ㄢ沧暣涓鍖烘碘濇悳绱㈠懡浠ゅ簭鍒楋细
浠g爜:--------------------------------------------------------------------------------
mov eax,edi
mov edx,dword ptr ss:[ebp-8]
mov dword ptr ds:[eax],edx
xor eax,eax
--------------------------------------------------------------------------------
镓惧埌鍦711A339F澶勶纴鎴戜滑鍦711A339F澶勪笅涓 纭浠舵墽琛 鏂镣广
鐜板湪鎴戜滑鍏抽棴Ollydbg锛岄吨鏂拌浇鍏ヨ繖涓猟ll锛岀洿鎺Shift+F9杩愯岋纴涓鏂鍦711A339F澶
浠g爜:--------------------------------------------------------------------------------
711A339F 8BC7 mov eax,edi
711A33A1 8B55 F8 mov edx,dword ptr ss:[ebp-8]
//鏀逛负锛 mov edx,dword ptr ss:[ebp-4] 钸 姝g‘鍑芥暟鍐椤叆
711A33A4 8910 mov dword ptr ds:[eax],edx
711A33A6 33C0 xor eax,eax
711A33A8 5A pop edx
711A33A9 59 pop ecx
711A33AA 59 pop ecx
711A33AB 64:8910 mov dword ptr fs:[eax],edx
711A33AE EB 0A jmp short V1200351.711A33BA
--------------------------------------------------------------------------------
鎶711A33A1澶勪慨鏀瑰ソ涔嫔悗锛屽彇娑堜互鍓崭笅镄711A339F澶勭殑鏂镣广
鍐岰trl+S鎼灭储锻戒护搴忓垪锛
浠g爜:--------------------------------------------------------------------------------
add ebx,4
mov eax,dword ptr ss:[ebp-4C]
add eax,4
--------------------------------------------------------------------------------
镓惧埌鍦711A43C2澶勶纴鎴戜滑鍦ㄤ笅闱xor eax,eax镄711A4401涓嬫柇銆係hift+F9杩愯
浠g爜:--------------------------------------------------------------------------------
711A43C2 83C3 04 add ebx,4
711A43C5 8B45 B4 mov eax,dword ptr ss:[ebp-4C]
711A43C8 83C0 04 add eax,4
711A43CB 8945 B4 mov dword ptr ss:[ebp-4C],eax
711A43CE 8B03 mov eax,dword ptr ds:[ebx]
711A43D0 85C0 test eax,eax
711A43D2 0F87 39FDFFFF ja V1200351.711A4111
711A43D8 A1 74C71B71 mov eax,dword ptr ds:[711BC774]
711A43DD 8038 00 cmp byte ptr ds:[eax],0
711A43E0 75 1F jnz short V1200351.711A4401
711A43E2 8B45 C4 mov eax,dword ptr ss:[ebp-3C]
711A43E5 83C0 14 add eax,14
711A43E8 8945 C4 mov dword ptr ss:[ebp-3C],eax
711A43EB 8B45 C4 mov eax,dword ptr ss:[ebp-3C]
711A43EE 8378 0C 00 cmp dword ptr ds:[eax+C],0
711A43F2 76 0D jbe short V1200351.711A4401
711A43F4 8B45 C4 mov eax,dword ptr ss:[ebp-3C]
711A43F7 8378 10 00 cmp dword ptr ds:[eax+10],0
711A43FB 0F87 38FCFFFF ja V1200351.711A4039//寰鐜澶勭悊IAT
711A4401 33C0 xor eax,eax//姝ゅ勪笅鏂锛 钸
--------------------------------------------------------------------------------
褰撴垜浠涓鏂鍦711A4401澶勬椂IAT宸茬粡澶勭悊瀹屾瘯锛屾ゆ椂灏卞彲浠ョ敤ImportREC寰楀埌姝g‘镄勮緭鍏ヨ〃浜嗐
锲犱负EncryptPE钖庨溃链夎嚜镙¢獙锛屾墍浠ユ垜浠杩斿洖711A33A1澶勶纴镣瑰彸阌锛>鎾ら攒阃夋嫨锛屾仮澶嶅师𨱒ョ殑浠g爜銆
钬斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺斺
浜屻佸缑鍒伴吨瀹氢綅琛ㄤ俊鎭銆佽幏寰桹EP
Ctrl+S 鍦ㄢ沧暣涓鍖烘碘濇悳绱㈠懡浠ゅ簭鍒楋细
⑶ 在计算机技术中,什么叫加壳和脱壳,能用通俗的话讲出来吗
加壳,的病毒好手工查杀和提取,脱壳,就把病毒外表的保护给去掉一般有5层,核心就是他的源代码和病毒
流氓软件就是破解后加入的
最早提出“壳”这个概念的,据我所知,应该是当年推出脱壳软件 RCOPY 3 的作者熊焰先生。在几年前的 DOS 时代,“壳”一般都是指磁盘加密软件的段加密程序,可能是那时侯的加密软件还刚起步不久吧,所以大多数的加密软件(加壳软件)所生成的“成品”在“壳”和需要加密的程序之间总有一条比较明显的“分界线”。有经验的人可以在跟踪软件的运行以后找出这条分界线来,至于这样有什么用这个问题,就不用我多说了。但毕竟在当时,甚至现在这样的人也不是很多,所以当 RCOPY3 这个可以很容易就找出“分界线”,并可以方便的去掉“壳”的软件推出以后,立即就受到了很多人的注意。老实说,这个我当年在《电脑》杂志看到广告,在广州电脑城看到标着999元的软件,在当时来说,的确是有很多全新的构思,单内存生成 EXE 可执行文件这项,就应该是世界首创了。但它的思路在程序的表现上我认为还有很多可以改进的地方(虽然后来出现了可以加强其功力的 RO97),这个想法也在后来和作者的面谈中得到了证实。在这以后,同类型的软件想雨后春笋一般冒出来,记得住名字的就有: UNKEY、MSCOPY、UNALL .... 等等,但很多的软件都把磁盘解密当成了主攻方向,忽略了其它方面,当然这也为以后的“密界克星”“解密机器”等软件打下了基础,这另外的分支就不多祥谈了,相信机龄大一点的朋友都应该看过当时的广告了。
解密(脱壳)技术的进步促进、推动了当时的加密(加壳)技术的发展。LOCK95和 BITLOK 等所谓的“壳中带籽”加密程序纷纷出笼,真是各出奇谋,把小小的软盘也折腾的够辛苦的了。正在国内的加壳软件和脱壳软件较量得正火红的时候,国外的“壳”类软件早已经发展到像 LZEXE 之类的压缩壳了。这类软件说穿了其实就是一个标准的加壳软件,它把 EXE 文件压缩了以后,再在文件上加上一层在软件被执行的时候自动把文件解压缩的“壳”来达到压缩 EXE 文件的目的。接着,这类软件也越来越多, PKEXE、AINEXE、UCEXE 和后来被很多人认识的 WWPACK 都属于这类软件,但奇怪的是,当时我看不到一个国产的同类软件。
过了一段时间,可能是国外淘汰了磁盘加密转向使用软件序列号的加密方法吧,保护 EXE 文件不被动态跟踪和静态反编译就显得非常重要了。所以专门实现这样功能的加壳程序便诞生了。 MESS 、CRACKSTOP、HACKSTOP、TRAP、UPS 等等都是比较有名气的本类软件代表,当然,还有到现在还是数一数二的,由台湾同胞所写的 FSE 。其实以我的观点来看,这样的软件才能算是正宗的加壳软件。
在以上这些加壳软件的不断升级较劲中,很多软件都把比较“极端”技术用了上去,因为在这个时候 DOS 已经可以说是给众高手们玩弄在股掌之间了,什么保护模式、反 SICE 、逆指令等等。相对来说,在那段时间里发表的很多国外脱壳程序,根本就不能对付这么多的加壳大军,什么 UPC、TEU 等等都纷纷成为必防的对象,成绩比较理想的就只有 CUP386 了,反观国内,这段时间里也没了这方面的“矛盾斗争”。加壳软件门挥军直捣各处要岗重地,直到在我国遇到了 TR 这个铜墙铁壁以后,才纷纷败下阵来各谋对策,但这已经是一年多以后的事情了。我常想,如果 TR 能早两年“出生”的话,成就肯定比现在大得多,甚至盖过 SICE 也有可能。TR 发表的时候 WIN95 的流行已经成为事实,DOS 还有多少的空间,大家心里都清楚。但话又说回来, TR 的确是个好软件,比起当年的 RCOPY3 有过之而无不及,同时也证明了我们中国的 CRACK 实力(虽然有点过时)。这个时候,前面提到过的 FSE 凭着强劲的实力也渐渐的浮出了水面,独领风骚。其时已经是 1997 年年底了,我也走完了学生“旅程”。工作后在CFIDO 的 CRACK 区认识了 Ding-Boy ,不久 CRACK 区关了,我从此迷上了 INTERNET,并于98年6月建起了一个专门介绍“壳”的站台: http://topage.126.com ;;,放上了我所收集的所有“壳”类软件。在这段时间里,各种“壳”类软件也在不段的升级换代,但都没什么太大的进展,差不多就是 TR 和众加壳软件的版本数字之争而已。
1998年8月,一个名为 UNSEC (揭秘)的脱壳软件发表了,它号称可以脱掉98年8月以前发表的所有壳。我测试之后,觉得并没传闻中的那么厉害,特别是兼容性更是令我不想再碰它。 Ding-Boy 给这个软件的作者提了很多建议,但寄去的 EMIAL 有如泥牛入海,可能是一怒之下吧,不久 Ding-Boy 的 BW (冲击波)就诞生了。这个使用内存一次定位生成 EXE 文件(后来放弃了)的脱壳软件,在我的站台公开后,得到了很多朋友们的肯定。要知道,从RCOPY 3 开始,绝大部分的脱壳软件都是要两次运行目标程序来确定 EXE 的重定位数据的。BW 的这一特点虽然有兼容性的问题,但也树立了自己的风格、特色。经过几个月的改善, BW 升级到了 2.0 版本,这个版本的推出可以说是 BW 的转折点,因为它已经是一个成熟、稳定脱壳软件了,它可以对付当时(现在)大多数的壳,包括当时最新的 FSE 0.6 等。更重要的是这个版本把选择壳的和软件“分界线”这个最令新手头疼的步骤简化到不能再简化的地步,使更多的朋友接受了它。另外,能加强 BW 功力的 CI 模式也是其它脱壳软件没有的东西。最近,BW 发表了最新的 2.5 BETA2 版本,增强了一些方面的功能,因它竟然可以脱掉号称最厉害的磁盘加密工具 LOCKKING 2.0 的加密壳,因而进一步奠定了它在“脱壳界”的地位。说到最新,就不能不提 GTR、LTR、EDUMP、ADUMP、UPS、UPX、APACK 这几个国外的好软件了,它们每个都有自己的特色,可以说都是当今各类“壳”中的最新代表了。(这些软件和详细介绍请到我的主页查阅)
由于 WINDOWS 3.1 只是基于 DOS 下的一个图形外壳,所以在这个平台下的“壳”类软件很少,见过的就只有像 PACKWIN 等几个有限的压缩工具,终难成气候。
可能是 MICROSOFT 保留了 WIN95 的很多技术上的秘密吧,所以即便是 WIN95 已经推出了 3 年多的时间,也没见过在其上面运行的“壳”类软件。直到 98 年的中期,这样的软件才迟迟的出现,而这个时候 WIN98 也发表了有一段日子了。应该是有 DOS 下的经验吧,这类的软件不发表由自可,一发表就一大批地的冲了出来。先是加壳类的软件如: BJFNT、PELOCKNT 等,它们的出现,使暴露了 3 年多的 WIN95 下的 PE 格式 EXE 文件得到了很好的保护。大家都应该知道现在很多 WIN95 下的软件都是用注册码的方法来区分、确定合法与非法用户的吧,有了这类加壳软件,这种注册方法的安全性提高了不少,如果大家也有自己编的 WIN95 程序,就一定要多留意一下本类软件了。接着出现的就是压缩软件了,因为 WIN95 下运行的 EXE 文件“体积”一般都比较大,所以它的实用价值比起 DOS 下的压缩软件要大很多,这类的软件也很多,早些时候的 VBOX、PEPACK、PETITE 和最近才发表的 ASPACK、UPX 都是其中的佼佼者。在 DOS 下很流行的压缩软件 WWPACK 的作者也推出了对应 WIN95 版本的 WWPACK32,由于性能并不是十分的突出,所以用的人也不太多。由于压缩软件其实也是间接给软件加了壳,所以用它们来处理 EXE 也是很多软件作者喜欢做的事情,最近新发表的很多软件里都可以看到这些加壳、加压缩软件的名字了。有加壳就一定会有脱壳的,在 WIN95 下当然也不例外,但由于编这类软件比编加壳软件要难得多,所以到目前为止,我认为就只有 PROCDUMP 这个软件能称为通用脱壳软件了,它可以对付现在大多数的加壳、压缩软件所加的壳,的确是一个难得的精品。其它的脱壳软件多是专门针对某某加壳软件而编,虽然针对性强、效果好,但收集麻烦,而且这样的脱壳软件也不多。前些时候 TR 作者也顺应潮流发表了 TR 的 WIN95 版本: TRW ,由现在的版本来看可以对付的壳还不多,有待改进。
BW 的作者 Ding-Boy 最新发表了一个 WIN95 的 EXE 加壳软件 DBPE 。虽然它还不太成熟,但它可以为软件加上使用日期限制这个功能是其它加壳软件所没有的,或者以后的加壳软件真的会是像他说的那样可以:加壳和压缩并重、并施;随意加使用日期;加上注册码;加软件狗(磁盘)保护;加硬件序列号判
⑷ 求助:UPX脱壳问题
1,命令行一定要准确.其实你可以安装一个DosHere的注册表文件让文件夹支持直接进入cmd.或者Win+r输入cmd然后输入路径进到需要操作的文件夹然后施工,这样不容易错.
2,你可以选择用UPX Shell这个外壳工具,很方便处理文件,在option->Advanced第二项打挑可以让程序文件支持右键UpX转换.
3,UPX可以选择文件加密的,加密后的不可以直接脱壳,这是最重的重点.UpxShell中同样option-advan....里面第一项就是,另外加密也分多种,每种也有设置不同,脱壳并不是好玩的,确切说不可能"手把手教会".你要学习PE格式以及汇编等一系列的非常熬人的东西,之后还要凭运气和天赋.
4,显示UPX加壳,未必只是一个壳,有时可以重叠加几次壳(其他加密工具),这还不包括程序本身对自身的检测(脱壳看似成功,但之后不能运行)
路迢迢........
⑸ 脱壳是什么意思
首先我想大家应该先明白“壳”的概念。在自然界中,我想大家对壳这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样,其实都是命名上的方法罢了。
最早提出“壳”这个概念的,据我所知,应该是当年推出脱壳软件 RCOPY 3 的作者熊焰先生。在几年前的 DOS 时代,“壳”一般都是指磁盘加密软件的段加密程序,可能是那时侯的加密软件还刚起步不久吧,所以大多数的加密软件(加壳软件)所生成的“成品”在“壳”和需要加密的程序之间总有一条比较明显的“分界线”。有经验的人可以在跟踪软件的运行以后找出这条分界线来,至于这样有什么用这个问题,就不用我多说了。但毕竟在当时,甚至现在这样的人也不是很多,所以当 RCOPY3 这个可以很容易就找出“分界线”,并可以方便的去掉“壳”的软件推出以后,立即就受到了很多人的注意。老实说,这个我当年在《电脑》杂志看到广告,在广州电脑城看到标着999元的软件,在当时来说,的确是有很多全新的构思,单内存生成 EXE 可执行文件这项,就应该是世界首创了。但它的思路在程序的表现上我认为还有很多可以改进的地方(虽然后来出现了可以加强其功力的 RO97),这个想法也在后来和作者的面谈中得到了证实。在这以后,同类型的软件想雨后春笋一般冒出来,记得住名字的就有: UNKEY、MSCOPY、UNALL .... 等等,但很多的软件都把磁盘解密当成了主攻方向,忽略了其它方面,当然这也为以后的“密界克星”“解密机器”等软件打下了基础,这另外的分支就不多祥谈了,相信机龄大一点的朋友都应该看过当时的广告了。
解密(脱壳)技术的进步促进、推动了当时的加密(加壳)技术的发展。LOCK95和 BITLOK 等所谓的“壳中带籽”加密程序纷纷出笼,真是各出奇谋,把小小的软盘也折腾的够辛苦的了。正在国内的加壳软件和脱壳软件较量得正火红的时候,国外的“壳”类软件早已经发展到像 LZEXE 之类的压缩壳了。这类软件说穿了其实就是一个标准的加壳软件,它把 EXE 文件压缩了以后,再在文件上加上一层在软件被执行的时候自动把文件解压缩的“壳”来达到压缩 EXE 文件的目的。接着,这类软件也越来越多, PKEXE、AINEXE、UCEXE 和后来被很多人认识的 WWPACK 都属于这类软件,但奇怪的是,当时我看不到一个国产的同类软件。
过了一段时间,可能是国外淘汰了磁盘加密转向使用软件序列号的加密方法吧,保护 EXE 文件不被动态跟踪和静态反编译就显得非常重要了。所以专门实现这样功能的加壳程序便诞生了。 MESS 、CRACKSTOP、HACKSTOP、TRAP、UPS 等等都是比较有名气的本类软件代表,当然,还有到现在还是数一数二的,由台湾同胞所写的 FSE 。其实以我的观点来看,这样的软件才能算是正宗的加壳软件。
在以上这些加壳软件的不断升级较劲中,很多软件都把比较“极端”技术用了上去,因为在这个时候 DOS 已经可以说是给众高手们玩弄在股掌之间了,什么保护模式、反 SICE 、逆指令等等。相对来说,在那段时间里发表的很多国外脱壳程序,根本就不能对付这么多的加壳大军,什么 UPC、TEU 等等都纷纷成为必防的对象,成绩比较理想的就只有 CUP386 了,反观国内,这段时间里也没了这方面的“矛盾斗争”。加壳软件门挥军直捣各处要岗重地,直到在我国遇到了 TR 这个铜墙铁壁以后,才纷纷败下阵来各谋对策,但这已经是一年多以后的事情了。我常想,如果 TR 能早两年“出生”的话,成就肯定比现在大得多,甚至盖过 SICE 也有可能。TR 发表的时候 WIN95 的流行已经成为事实,DOS 还有多少的空间,大家心里都清楚。但话又说回来, TR 的确是个好软件,比起当年的 RCOPY3 有过之而无不及,同时也证明了我们中国的 CRACK 实力(虽然有点过时)。这个时候,前面提到过的 FSE 凭着强劲的实力也渐渐的浮出了水面,独领风骚。其时已经是 1997 年年底了,我也走完了学生“旅程”。工作后在CFIDO 的 CRACK 区认识了 Ding-Boy ,不久 CRACK 区关了,我从此迷上了 INTERNET,并于98年6月建起了一个专门介绍“壳”的站台: http://topage.126.com ;,放上了我所收集的所有“壳”类软件。在这段时间里,各种“壳”类软件也在不段的升级换代,但都没什么太大的进展,差不多就是 TR 和众加壳软件的版本数字之争而已。
1998年8月,一个名为 UNSEC (揭秘)的脱壳软件发表了,它号称可以脱掉98年8月以前发表的所有壳。我测试之后,觉得并没传闻中的那么厉害,特别是兼容性更是令我不想再碰它。 Ding-Boy 给这个软件的作者提了很多建议,但寄去的 EMIAL 有如泥牛入海,可能是一怒之下吧,不久 Ding-Boy 的 BW (冲击波)就诞生了。这个使用内存一次定位生成 EXE 文件(后来放弃了)的脱壳软件,在我的站台公开后,得到了很多朋友们的肯定。要知道,从RCOPY 3 开始,绝大部分的脱壳软件都是要两次运行目标程序来确定 EXE 的重定位数据的。BW 的这一特点虽然有兼容性的问题,但也树立了自己的风格、特色。经过几个月的改善, BW 升级到了 2.0 版本,这个版本的推出可以说是 BW 的转折点,因为它已经是一个成熟、稳定脱壳软件了,它可以对付当时(现在)大多数的壳,包括当时最新的 FSE 0.6 等。更重要的是这个版本把选择壳的和软件“分界线”这个最令新手头疼的步骤简化到不能再简化的地步,使更多的朋友接受了它。另外,能加强 BW 功力的 CI 模式也是其它脱壳软件没有的东西。最近,BW 发表了最新的 2.5 BETA2 版本,增强了一些方面的功能,因它竟然可以脱掉号称最厉害的磁盘加密工具 LOCKKING 2.0 的加密壳,因而进一步奠定了它在“脱壳界”的地位。说到最新,就不能不提 GTR、LTR、EDUMP、ADUMP、UPS、UPX、APACK 这几个国外的好软件了,它们每个都有自己的特色,可以说都是当今各类“壳”中的最新代表了。(这些软件和详细介绍请到我的主页查阅)
由于 WINDOWS 3.1 只是基于 DOS 下的一个图形外壳,所以在这个平台下的“壳”类软件很少,见过的就只有像 PACKWIN 等几个有限的压缩工具,终难成气候。
可能是 MICROSOFT 保留了 WIN95 的很多技术上的秘密吧,所以即便是 WIN95 已经推出了 3 年多的时间,也没见过在其上面运行的“壳”类软件。直到 98 年的中期,这样的软件才迟迟的出现,而这个时候 WIN98 也发表了有一段日子了。应该是有 DOS 下的经验吧,这类的软件不发表由自可,一发表就一大批地的冲了出来。先是加壳类的软件如: BJFNT、PELOCKNT 等,它们的出现,使暴露了 3 年多的 WIN95 下的 PE 格式 EXE 文件得到了很好的保护。大家都应该知道现在很多 WIN95 下的软件都是用注册码的方法来区分、确定合法与非法用户的吧,有了这类加壳软件,这种注册方法的安全性提高了不少,如果大家也有自己编的 WIN95 程序,就一定要多留意一下本类软件了。接着出现的就是压缩软件了,因为 WIN95 下运行的 EXE 文件“体积”一般都比较大,所以它的实用价值比起 DOS 下的压缩软件要大很多,这类的软件也很多,早些时候的 VBOX、PEPACK、PETITE 和最近才发表的 ASPACK、UPX 都是其中的佼佼者。在 DOS 下很流行的压缩软件 WWPACK 的作者也推出了对应 WIN95 版本的 WWPACK32,由于性能并不是十分的突出,所以用的人也不太多。由于压缩软件其实也是间接给软件加了壳,所以用它们来处理 EXE 也是很多软件作者喜欢做的事情,最近新发表的很多软件里都可以看到这些加壳、加压缩软件的名字了。有加壳就一定会有脱壳的,在 WIN95 下当然也不例外,但由于编这类软件比编加壳软件要难得多,所以到目前为止,我认为就只有 PROCDUMP 这个软件能称为通用脱壳软件了,它可以对付现在大多数的加壳、压缩软件所加的壳,的确是一个难得的精品。其它的脱壳软件多是专门针对某某加壳软件而编,虽然针对性强、效果好,但收集麻烦,而且这样的脱壳软件也不多。前些时候 TR 作者也顺应潮流发表了 TR 的 WIN95 版本: TRW ,由现在的版本来看可以对付的壳还不多,有待改进。
BW 的作者 Ding-Boy 最新发表了一个 WIN95 的 EXE 加壳软件 DBPE 。虽然它还不太成熟,但它可以为软件加上使用日期限制这个功能是其它加壳软件所没有的,或者以后的加壳软件真的会是像他说的那样可以:加壳和压缩并重、并施;随意加使用日期;加上注册码;加软件狗(磁盘)保护;加硬件序列号判别;加... 。
附加一点内容
一.壳的概念
作者编好软件后,编译成exe可执行文件
1.有一些版权信息需要保护起来,不想让别人
随便改动,如作者的姓名等
2.需要把程序搞的小一点,从而方便使用
于是,需要用到一些软件,他们能将exe可执行文件压缩,
实现上述两个功能,这些软件称为加壳软件或压缩软件.
它不同于一般的winzip,winrar等压缩软件.
它是压缩exe可执行文件的,压缩后的文件可以直接运行.
二.加壳软件
最常见的加壳软件ASPACK ,UPX,PEcompact
不常用的加壳软件WWPACK32;PE-PACK ;PETITE ;NEOLITE
三.侦测壳和软件所用编写语言的软件
1.侦测壳的软件fileinfo.exe 简称fi.exe(侦测壳的能力极强)
使用方法:
第一种:待侦测壳的软件(如aa.exe)和fi.exe位于同一目录下,执行
windows起始菜单的运行,键入
fi aa
第二种:待侦测壳的软件(如aa.exe)和fi.exe位于同一目录下,将aa的图标拖到fi的图标上
2.侦测壳和软件所用编写语言的软件language.exe(两个功能
合为一体,很棒) 推荐language2000中文版,我的主页可下载
傻瓜式软件,运行后选取待侦测壳的软件即可(open)
图中所示软件cr-xxzs.exe是用Visual Basic6.0编的,upx加壳
3.软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC)