1,首先�,殼的分類(lèi)�,殼一般分為加密殼�����,壓縮殼�,保護(hù)殼�,從名字上就可以看出個(gè)大概意思啦,其實(shí)他們并沒(méi)有明顯的區(qū)分的界限。
加密殼又分為:run time/scan time 加密殼����,一般是純粹是為了免殺而制作的�����,從功能上來(lái)說(shuō),run time 加密免殺殼�����,是在軟件運(yùn)行后��,存在于內(nèi)存中之后,隱藏軟件的信息起到防止被查殺的目的���。而scan time 加密殼,他只可以在軟件靜態(tài)掃描的時(shí)候起保護(hù)作用�����,也就是���,他只可以起表面免殺作用�����。在國(guó)外����,是非常一個(gè)區(qū)分這2個(gè)殼的�����,具有run time 免殺效果的殼賣(mài)得都是很貴的易語(yǔ)言程序特征碼,尤其是FUD殼(FULL )也就是完全防止檢測(cè)���。加密殼一般叫xxx
2,壓縮殼����,壓縮殼的長(zhǎng)處就是壓縮軟件大小了,當(dāng)然�,新出的壓縮殼的免殺效果也是很明顯的���。以前的北斗和絕北就很不錯(cuò)����。在國(guó)外�����,一般不一個(gè)區(qū)分這類(lèi)殼��。
3,保護(hù)殼�����,保護(hù)殼就是在軟件完工之后,在外面加的一個(gè)保護(hù)原代碼不被破解的殼���,一般叫paker的殼就是了。
4���,現(xiàn)在很多強(qiáng)的軟件都具備3種殼的功能。一般具備綜合功能的殼兼容性都比較不錯(cuò)�。而單純的加密殼���,兼容性都不是很好�,有很多也只對(duì)部分軟件起免殺作用�����。
5���,所有的殼一般都對(duì)exe文件起作用易語(yǔ)言程序特征碼,對(duì)DLL起作用的就比較少了���。加密殼用到DLL文件加密的話(huà)一般95%會(huì)出錯(cuò)。而DLL一般加綜合免殺殼或者加PAKER殼不會(huì)報(bào)錯(cuò)�。
特征碼修改
1 定位在PE文件頭���。
方法1 手工修改PE頭�����。或用lord PE重建。
方法2 定位從400開(kāi)始定位。一般用于瑞星
2 定位出現(xiàn)死循環(huán)���。
方法1 PE頭加1后再定位
方法2 從400開(kāi)始定位,更改分塊個(gè)數(shù)
3 定位出特征碼,改的時(shí)候出現(xiàn)重定位,無(wú)法修改��。
方法 可以使用lord PE 重建PE 功能實(shí)現(xiàn)清除重定位�����。
4 定位在輸入表位置
方法1 修改輸入表
方法2 最直接的就是直接重建輸入表 工具 REC
5 定位在末尾的配置信息
方法1 這一般是金山的數(shù)據(jù)流����。����。選擇上一大段 更改大小寫(xiě)即可,
6 OD使用保存時(shí) 沒(méi)有“所有修改”
這個(gè)問(wèn)題我也不清楚�����。個(gè)人感覺(jué)是沒(méi)有jmp成功��?���;蛘叻珠_(kāi)來(lái)保存�?��;蛴檬髽?biāo)拉上修改的部分來(lái)保存
7 定位的特征在OD中用什么方法都修改不了
并不是非要修改定位出來(lái)的特征碼�����,修改他上面或下面的2�。3行 乃至4�����。5行 有時(shí)候都是可以免殺的���。
