第一课 壳 ************一.壳的概念作者编好软件后,编译成exe可执行文件1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等2.需要把程序搞的小一点,从而方便使用于是,需要用到一些软件,他们能将exe可执行文件压缩,实现上述两个功能,这些软件称为加壳软件或压缩软件.它不同于一般的winzip,winrar等压缩软件.它是压缩exe可执行文件的,压缩后的文件可以直接运行.二.加壳软件最常见的加壳软件ASPACK ,UPX,PEcompact不常用的加壳软件WWPACK32；PE-PACK ；PETITE ；NEOLITE 第二课 脱壳************拿到一个软件,我们首先根据第一课的内容侦测它的壳,然后我们要把它的壳脱去,还原它的本来面目.若它没有加壳,就省事不用脱壳了.一.脱壳软件unaspack,caspr,upx,unpecompact,procdump二.使用方法(一)aspack壳 脱壳可用unaspack或caspr1.unaspack  我的主页可下载中文版使用方法类似lanuage傻瓜式软件,运行后选取待脱壳的软件即可.  缺点：只能脱aspack早些时候版本的壳,不能脱高版本的壳2.caspr第一种：待脱壳的软件(如aa.exe)和caspr.exe位于同一目录下,执行windows起始菜单的运行,键入 caspr aa.exe脱壳后的文件为aa.ex_,删掉原来的aa.exe,将aa.ex_改名为aa.exe即可使用方法类似fi  优点：可以脱aspack任何版本的壳，脱壳能力极强 缺点：Dos界面 第二种：将aa.exe的图标拖到caspr.exe的图标上 ***若已侦测出是aspack壳,用unaspack脱壳出错，说明是aspack高版本的壳，用caspr脱即可(二)upx壳 脱壳可用upx待脱壳的软件(如aa.exe)和upx.exe位于同一目录下,执行windows起始菜单的运行,键入upx -d aa.exe (三)PEcompact壳 脱壳用unpecompact   我的主页可下载中文版 使用方法类似lanuage傻瓜式软件,运行后选取待脱壳的软件即可 (四)procdump 万能脱壳但不精,一般不要用 我的主页可下载中文版使用方法:运行后,先指定壳的名称,再选定欲脱壳软件,确定即可脱壳后的文件大于原文件由于脱壳软件很成熟,手动脱壳一般用不到,不作介绍.以上工具的下载地址见第一课三. exe可执行文件编辑软件ultraedit下载它的汉化版本,它的注册机可从网上搜到ultraedit打开一个中文软件,若加壳,许多汉字不能被认出ultraedit打开一个中文软件,若未加壳或已经脱壳,许多汉字能被认出ultraedit可用来检验壳是否脱掉,以后它的用处还很多,请熟练掌握例如,可用它的替换功能替换作者的姓名为你的姓名注意字节必须相等,两个汉字替两个,三个替三个,不足处在ultraedit编辑器左边用00补   第三课 破解预备知识一.机械码,又称机器码.ultraedit打开,编辑exe文件时你会看到许许多多的由0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F组成的数码,这些数码就是机器码.修改程序时必须通过修改机器码来修改exe文件.二.需要熟练掌握的全部汇编知识(只有这么多)不大容易理解,可先强行背住,混个脸儿熟,以后慢慢的就理解了cmp a,b 比较a与bmov a,b 把b的值送给aret 返回主程序nop 无作用,英文“no operation”的简写，意思是“do nothing”(机器码90)***机器码的含义参看上面(解释:ultraedit打开编辑exe文件时你看到90,等同于汇编语句nop)call 调用子程序je 或jz 若相等则跳(机器码74 或0F84)jne或jnz 若不相等则跳(机器码75或0F85)jmp 无条件跳(机器码EB)jb 若小于则跳ja 若大于则跳jg 若大于则跳jge 若大于等于则跳jl 若小于则跳jle 若小于等于则跳pop 出栈push 压栈三.常见修改(机器码)74=>75 74=>90 74=>EB75=>74 75=>90 75=>EBjnz->nop75->90(相应的机器码修改)jnz -> jmp75 -> EB(相应的机器码修改)jnz -> jz75->74 (正常) 0F 85 -> 0F 84(特殊情况下,有时,相应的机器码修改)四.两种不同情况的不同修改方法1.修改为jmpje(jne,jz,jnz) =>jmp相应的机器码EB （出错信息向上找到的第一个跳转）jmp的作用是绝对跳，无条件跳，从而跳过下面的出错信息xxxxxxxxxxxx 出错信息，例如：注册码不对，sorry,未注册版不能...，"Function Not Avaible in Demo" 或 "Command Not Avaible" 或 "Can't save in Shareware/Demo"等 （我们希望把它跳过，不让它出现）。。。。。。xxxxxxxxxxxx 正确路线所在2.修改为nopje(jne,jz,jnz) =>nop相应的机器码90 （正确信息向上找到的第一个跳转） nop的作用是抹掉这个跳转，使这个跳转无效，失去作用，从而使程序顺利来到紧跟其后的正确信息处xxxxxxxxxxxx 正确信息，例如：注册成功，谢谢您的支持等（我们希望它不被跳过，让它出现，程序一定要顺利来到这里）。。。。。。xxxxxxxxxxxx 出错信息（我们希望不要跳到这里，不让它出现）。。。。。。五.爆破无敌口诀 背会此口诀，天下无敌，以后慢慢琢磨，仔细体会，收益多多。如此好的口诀，不要错过一条（跳）就死，九筒（90）就胡   (对应上面的2.修改为nop）一条（跳）就胡，一饼（EB）伺候   (对应上面的1.修改为jmp）妻死（74）便妻无（75） 爸死（84）便爸无（85）

评论