加壳改壳:纵横间谁能相抗—论壳和加壳技术

on 2009-9-12 in 安全 | 0 Comment
在这外壳风起云涌几年间出现了无数优秀外壳CoDe_inJect曾谈过对几种流行壳看法我斗胆结合他言论描述下现在常见保护外壳:


ASProtect

  无可争议外壳界老大它开创了壳新时代SEH 和各种流行反跟踪技术、多态变形引擎使用(准确来说是从病毒中借用)、BPM 断点清除等都出自于此;更为有名当属 RSA 算法使用使得 DEMO 版无法被破解成完整版;Code Dips也源于这里;输入表处理即使现在看来仍很强劲开发壳应该学习它各种算法熟练运用而它最失败的处就是反跟踪过于温柔令破解者轻松研究

tELock

  大名鼎鼎款免费保护软件Software具有较强反跟踪能力用SEH控制 DRx结合内存校验封杀了 BPM 断点和SuperBPM 等工具并有 BPE32 变形引擎产生很多异常代码干扰跟踪输入表修复让人头痛了好阵子于此形成讽刺意味输入表在重定向的前会在内存中以完整形态出现值得是heXer 花费了数月零散时间将它逆向并做出了个加强版称的为 tELock X

PELock

  PELock应该是很多壳综合输入表处理、RSA算法、反跟踪、清除断点、SHE 都用到了而且是第个可以在Win98下检测出IceDump在这个壳中第次使用了清除代码、加密代码、锁定代码使被加密更难转储

DBPE

  这个壳在国内如日中天奥妙在于哪里?就在于反跟踪做得比较完善它是很早使用驱动虽然驱动运用仅仅是为了在WinNT下切到Ring-0 但开创了壳使用驱动先例输入表处理修改了中断向量并使用其进行解码些版本中有 MMXE 变形引擎使跟踪起来眼花缭乱可惜是由于作者对 RSA 理解使破解者可以做出注册机且即使不注册也可以脱壳

SVKP

  这个壳有着深厚背景, 那就是anticracking.sk 和DAEMON、 EliCZ等大批传说中人物有着密切关系但是这个壳反跟踪和输入表处理都不够理想可能跟作者编码能力有关吧驱动在这个中使用比较熟练些系统上会隐藏进程使得ImportREC等工具遇到阻碍运用了 KME 变形引擎使代码在堆栈中执行跟踪起来困难重重

Xtreme-Protector

  如它名字似乎是目前最强悍也是驱动使用最为熟练驱动有解码、反跟踪作用多线程SMC使得保护能力直线上升令很多没有硬件调试器破解者望而却步

Star-Force

  和Xtreme-Protector不相伯仲强大外壳核心是个伪代码解释器大大复杂了对其研究工作;部分导入代码是从系统库中拷贝出来并进行修改过部分代码只有在执行时候才解密出来保护中还大量应用了这些手段:检测某些内存段CRC 校验和经常地将DRx清零利用RDTSC指令来控制解码区别块解码时刻最后块代码解码甚至通过截获Int 0在 Ring-0 中进行不过它多用于光盘加密在共享软件Software中并不多见

Armadillo

  当今猛壳的壳如其名拥有厚重装甲加壳方式有两种种是标准方式种是CopyMem-II+Debug-Blocker其标准加壳方式相对来说则容易双进程方式加壳修复着实是件令人头疼工作

Hying's PE-Armor

  网络游戏外挂中经常会遇到许多人对其避而不谈令它蒙上了浓重神迷色彩它拥有伪装功能初学者常常被探测软件Software信息所迷惑DRx和校验和解码窍门技巧非常普遍输入表处理比较好会针对对区别编译器做特殊处理内涵仿真虚拟机系统作为SDK使得脱壳更为困难个非常老版本源代码在看雪新书软件Software加密内幕中公开几乎没有什么强度但通过其学习外壳开发非常有价值

ACProtect

  首次使用了些新反跟踪窍门技巧刚刚浮出水面段时间内闹得沸沸扬扬后被123112用他妖幻调试器 TRW2000 结果了有关它些反跟踪fly写过些详细介绍这里不再赘述经过很多版本改进ACProtect Embedded Protect 和 RSA Protect 做得非常不错即使不使用SDK修复起来也是非常不便另外fly整理总结了利用“ESP定律”思路方法可以减轻跟踪强度

Obsidium

  这个壳特色在于支持分页加密并且拥有强大代码、资源充定位功能令修复很困难输入表处理似乎不错新版本不幸激发了 heXer 通宵兴趣在夜的间支离破碎

Pll621Shell

  山村老妖Pll621私人工具先于Hying壳拥具有Dump Shield 功能花指令繁多Win98下跟踪比较麻烦输入表重构但加密简单最大特色是会伪装为VC6.0这个壳停止更新很久了但籍于它作者名字很多人从未放弃过对它追求

PESpin

  压缩和加密并重输入表处理较好代码替换功能据说非常强大不过fly和他个神秘朋友举击破它防护令作者也不得不写信询问脱壳思路方法酝酿中新版本可能使用KME变形引擎不过在WinXP Sp2DEP机制中我只能祝愿它能够如愿运行起来

SDProtector(SoftDefender)

  软件Software保护神极多反跟踪窍门技巧和花指令即使阅读源代码理解都非常困难多线程全程保护令它增色不少并且具有伪装为VC功能也许会逐渐取代幻影成为国内加密软件Software霸主由于充斥着大量SEH、反跟踪和自校验脱壳时必须全程跟踪即使h****、Y*** 这样超人也许要定时间

EncryptPE 2004

  2003版本已经曾为过去不多做评价EPE具有良好兼容性(并非指运行兼容性)、无限层加密支持和自调试机制并且带包括易语言在内多种SDKheXer预言它将是未来使用最多其实力可想而知

VCASM

  最近VCASM新出了Vcasm-Protector尚未见有评论VCASM是个作者老作品它使用4个进程互相调试和大约3个线程反跟踪充斥难以计数异常从头跟到入口几乎成为不可能目前破解思路方法似乎只有附加在运行后进程上写代码修复但是如果和其他外壳配合加密了数据段脱壳就会变得极度困难了

eXcalibur

  中文名如雷贯耳叫“仙剑”不过金玉其外败絮其中实在有辱这个名字作者是 LiNSoN(过去 fORGAT)说来惭愧它纯粹是为了学习加密和汇编而做没甚么自己特色并且基本都是借用他人代码价值仅仅限于给初学者做练习了源代码全部公开作者自己都没了是它最后个版本中附带了首动听MIDI御剑江湖




原作者: FORGOT
来 源: 看雪论坛



  • 篇文章: SHELL病毒介绍

  • 篇文章: [Perl]FTP自动上传文件脚本以及配置文件
    • Tags:  已被加壳 加壳软件 加壳工具 加壳改壳

    延伸阅读

    最新评论

    发表评论