怎么查看软件是否加壳？-百科大全-就爱阅读网
怎么查看软件是否加壳？
没有加壳红色圈住的地方是查壳结果 如图所示 结果为未加壳 所以直接显示程序所用的编程语言为VB
这个是没有加壳的 如果加壳的话是看不出用什么语言写的这个是用vc++写的是没有加壳的
用Peid、FFI等工具查壳
教你一招！你可以用360安全卫士里的网络连接状态察看这个疑似后门的软件是否打开了不明IP地址，把这个IP地址记录下来，然后用瑞星卡卡的IP查询工具查询，如果确有问题，那恭把这个软件删除！
这个东西很少有用手动的方法比较的，太慢也太费时。按你说的。从原理上来说你可以用hex或ultraedit来打开一个加壳的文件看它的文件头（同一种加壳工具算法一般来说是一样的）。实际上没人这样干，因为太费事了~你可以在百度搜索一下 《侦壳工具》。侦壳软件也有很多种，这可你就要多学习了，侦壳后就要用相应的脱壳软件脱壳。然后再看脱了壳的软件是何种语言编稜，然后再反汇编。建议你到看雪学院看看，那儿有从菜鸟到老手的教程。中国大部分破解高手都是一步步从那走出来的~
加壳：其实是利用特殊的算法，对EXE、DLL文件里的资源进行压缩，改变其原来的特征码，隐藏一些字符串等等，使一些资源编辑软件不能正常打开或者修改。类似WINRAR的效果，只不过这个功缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。解压原理，是加壳工具在文件头里加了一段指令，告诉CPU，怎么才能解压自己。现在的CPU都很快，所以这个解压过程你看不出什么东东。软件一下子就打开了，只有你机器配置非常差，才会感觉到不加壳和加壳后的软件运行速度的差别。当你加壳时，其实就是给可执行的文件加上个外衣。用户执行的只是这个外壳程序。当你执行这个程序的时候这个壳就会把原来的程序在内存中解开，解开后，以后的就交给真正的程序。所以，这些的工作只是在内存中运行的，是不可以了解具体是怎么样在内存中运行的。通常说的对外壳加密，都是指很多网上免费或者非免费的软件，被一些专门的加壳程序加壳，基本上是对程序的压缩或者不压缩。因为有的时候程序会过大，需要压缩。但是大部分的程序是因为防止反跟踪，防止程序被人跟踪调试，防止算法程序不想被别人静态分析。加密代码和数据，保护你的程序数据的完整性。不被修改或者破解。A壳和C壳算法不同。
联网问题：安装一个海卓冲浪软件，是目前最多人用的手机上网管家一般的软件联网都会提示一下是否接入网络，使用时选择一下就可以了软件收费问题：安装时你可以看一下相关的软件介绍是不是免费软件，如何收费，一般的正规的网站下载的软件都是有介绍的。你可以安装一个360安全卫士，它可以检查软件的暗扣功能，很好用。
打开"控制面板"->"管理工具"->"计算机管理" 的"本地用户和组"->"组" ，打开administrators 这个组，如果发现有除了administrator这个成员以外还有别的成员，那么你就是被控制了，如果没有，那么至少电脑没被完全控制。是否有后门，可以用杀毒软件等进行查杀。
自己登录到路由上看一下就知道了！！
路由器自带这个功能，看看有多少已连接的设备，如果怕别人蹭网可以绑定你所连接设备的mac地址，其他设备就进不来了
Copyright &
就爱阅读网 All Rights Reserved. 鲁ICP备号-4
声明：文章《怎么查看软件是否加壳？》由就爱阅读网友共享发布，目的只是为了归纳学习和传递资讯
所有作品版权归原创作者所有，与本站立场无关，如用户分享不慎侵犯了您的权益，请联系我们告知，我们将做删除处理！peid(查壳工具)下载 v0.95中文版_PE文件封包器、加密器和编译器 - pc6下载站恶意代码的静态分析技术 - FreeBuf互联网安全新媒体平台 | 关注黑客与极客
恶意代码的静态分析技术
共332583人围观
，发现 12 个不明物体
0×00 概述
静态分析技术通常是研究的第一步，是分析程序指令与结构来确定功能的过程，此时程序不是在运行状态的。
1.&反病毒软件确认程序样本恶意性
2.&使用hash识别恶意代码
3.&文件的字符串列表，使用函数还有文件头信息分析
尽可能多的搜集信息，对目标就更加了解。
0×01 反病毒扫描
反病毒软件显然不完美，主要依靠恶意代码特征片段的匹配（病毒文件特征库），还有基于行为模式的匹配分析（启发式检测）
恶意代码编写者很容易修改或者转化自己的特征代码片段，启发式检测也仍然会被新型的恶意代码绕过。
不同的反病毒软件使用了不同的特征库和启发式检测方法。
Virustotal网站允许你上传一个文件，调用多个反病毒引擎进行扫描，并生成一份报告
& 扫描结果提供了各个引擎对样本的识别情况，
图1 扫描结果
传说还有相当多的黑客利用网站帮助其修改恶意代码，然而谷歌官方也能通过分析提交的恶意代码跟踪黑客修改软件的过程，甚至反向定位黑客。
0×02 恶意代码的指纹
hash是唯一标识恶意代码的常用方法，SHA-1算法，MD5算法是最常用的两种hash函数。
图2 Kali中的md5deep
0×03 查找字符串
程序中的字符串就是一段可打印的字符序列，从其中会包含很多信息，比如弹出的消息，读取的位置，链接的URL等等。
使用Kali中的Strings程序搜索可执行文件的字符串，通常以Unicode和ASCII格式存储。
两种类型格式都以NULL结束符，表示字符串是完整的 ASCII字符串每个字符使用一个字节，Unicode使用两个字节。
然而有些时候检测到的也并非是真正的字符串，可能是内存地址，CPU指令序列。
0×04 加壳与混淆恶意代码
加壳后的恶意程序会被压缩，混淆技术则隐藏了执行的过程。
有时候使用Strings程序只搜索出很少的字符串，大部分是加壳或者混淆的，但是此类程序至少会有两个函数LoadLibrary和GetProcAddress 用来加载和使用其他函数。
加壳程序运行先自身脱壳解压缩自身的文件，然后在运行，我们利用静态分析只能看到外面的脱壳代码。
0×05 PEID检测加壳
PEID来检测加壳的类型和所用编译器的类型，简化加壳分析的过程，
加入一个简单的恶意代码 PEID识别了加壳的类型
UPX加壳工具非常流行 但是UPX也非常容易脱壳 下载工具就好
Warning： PEID 0.92中也存在缓冲区溢出漏洞，它和其他的程序一样，也许也会被黑客利用误导分析人员。
许多PEID插件会在不知情的情况下运行恶意代码可执行文件，注意在安全的环境下运行。
0×06 链接库与函数
对于分析恶意代码，收集它的导入表至关重要，导入表是一个程序使用的存储于另一个程序的那些函数。
静态链接（库与程序静态链接时，库中的所有代码都会复制到程序中，程序增大很多）常见于UNIX和Linux系统中，而Windows中都是动态链接（只有在程序运行时才链接到库）
DLL文件又称应用程序拓展，在Win中许多应用程序并不是一个完整的可执行文件，它们被分割成相对独立的动态链接库，DLL文件。
1.&不要把库包含在程序中需要时调用即可
2.&内存映射技术使加载后的DLL代码，资源在多个进程之间实现共享
3.&更新库时只要替换DLL即可方便快捷
0×07 Dependency Walker工具查看动态链接函数
常见的DLL程序：&
Kernal.dll&包含系统的核心功能，访问和操作内存，文件，硬件
WININET.dll&联网操作&包含了FTP&HTTP&NTP等协议
User.dll&包含了用户界面组件，控制响应用户操作的组件
Ntdll.dll&是Windows内核的接口&通常由Kernal间接导入，一些隐藏功能和操作进程会使用这个接口。
Advapi32.dll&提供了对核心Windows组件的访问&，比如服务管理器和注册表
Gdi32.dll&&提供图形显示和操作的函数
0×08 PE文件头与分节
PE文件是Windows系统下使用的可执行文件格式，它是微软在UNIX平台的COFF（Common Object File Format 通用对象文件格式）基础上制作而成。最初设计用来提高在不同系统上的移植性，其实只能用在Windows操作系统上。
PE是指32位可执行文件，64位的可执行文件称为PE+ 或者PE32+，并非PE64。
PE文件以一个文件头开始，其中包括代码信息，应用程序类型，所需的库函数与空间要求。
PE文件中常见的分节：
.text&包含了CPU的执行指令，正常是唯一包含代码的节。
.rdata&通常包含导入导出的函数信息，还可以存储程序中的其他只读数据
.data&包含了程序的全局数据&（本地数据并不存储在这里）
.rsrc&包含可执行文件使用的资源，内容并不执行，例如&图标，菜单项，字符串等
.reloc&包含用于重定位文件库的信息
0×09 一个小实验
我们先在Kali中用Strings程序看一下样本中的字符串，虽然没有显示出很多字符串，至少也得到了一部分信息。引入了WININET.dll和InternetOpenA函数说明会连接网络。还看到了一个网址可能是上述函数要连的网址。
接着我们用PEview打开文件，没有看到常用的PE节却看到了.UPX0/1/2 明显是UPX加密的痕迹 其中UPX0 虚拟大小为0×400 却没有原始数据 很可能包含了恶意代码。
PEID扫描结果看出是UPX加壳：&
利用命令行工具UPX脱壳：
脱壳后重新PEview 这时就可以看到正常的PE节了，PE节的名称都很固定任何特殊的PE节都是可疑的，同时还观察到 NT头IMAGE_OPTIONAL_HEADER 中的Subsystem CUI表示是命令行程序：
参考 Practical Malware Analysis
示例程序 链接:
密码: d8jw
*本文作者：月尽西楼，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）
一只二进制小菜鸡k0shl
刚开始我以为文内有关于现下某些流行木马或者病毒的详细逆向分析的各种细节这样的干货，进来一看原来是列举了各种工具，且不说抄袭与否，单是文章质量。。。
string不光kali有，这是linux/unix的通用工具。0×04 加壳与混淆恶意代码,这个显然不是“恶意代码的静态分析技术”，而是anti“恶意代码的静态分析技术”。其中“但是此类程序至少会有两个函数LoadLibrary和GetProcAddress 用来加载和使用其他函数”这说的太绝对了，不用这两个函数的壳多的去了。“而Windows中都是动态链接”，也不能这么说，windows中也有静态库，如MFC，动态静态都可以，看编译时如何选。“Kernal.dll 包含系统的核心功能”，应该是kernel32.dll，即使是64位系统也是32。user32也一样，不是user.dll。0×08 PE文件头与分节,PE不只是在windows下执行，wine也可以。.text 也不是唯一包含代码的节，驱动程序的.init节也包含执行代码。0×09 一个小实验，“明显是UPX加密的痕迹”，upx数据压缩壳，没有使用密钥进行加密，修改版的除外。有.UPX0/1/2 也不一定就是upx，现在的混淆可以做到天衣无缝。“Subsystem CUI表示是命令行程序”，这个不一定，很多有界面的程序也可以是CUI，驱动程序CUI的比较多，动态库CUI的也比较多。
桃李春风一杯酒
谢大牛指教
http://www.cnblogs.com/SEC-fsq...
必须您当前尚未登录。
必须（保密）
桃李春风一杯酒
关注我们 分享每日精选文章
可以给我们打个分吗？本地高速下载器地址
常用软件推荐
原创软件推荐
PEiD是一款著名的查壳工具，其功能强大，现在有软件很多都加了壳，给破解汉化带来非常大的不便，PEiD几乎可以侦测出所有的壳，其数量已超过470 种PE文档 的加壳类型和签名，另外还可识别出EXE文件是用什么语言编写的，比如：VC++、Delphi、VB或Delphi等。
高速下载器地址
适合机型：三星G9200,三星G9200刷机包
Android版本:7.0
ROM大小:1790 MB
本站提供的软件会测试再上传，但无法保证所有软件都没有问题，如果您发现链接错误或其它问题，请在评论里告诉我们！
下载点支持点击下载(IE图标)或(迅雷图标)，若直接点击下载速度太慢，请尝试点击其他的下载点，若文件太大请使用高速下载器。为确保下载的文件能正常使用，请使用最新版本解压本站软件。
建议大家谨慎对待所下载的文件，大家在安装的时候务必留意每一步！关于或的有关提示，请自行注意选择操作。
本站所有资源均是软件作者、开发商投稿、网上搜集，任何涉及商业盈利目的均不得使用，否则产生的一切后果将由您自己承担！将不对任何资源负法律责任。所有资源请在下载后24小时内删除。
本站下载资源全部由软件作者或软件厂商提供，游戏相关下载转自各大游戏论坛及游戏下载站，并全部为免费分享。如侵犯了您的版权，请立刻联系我们并附带版权证明，本站将尽快处理删除（举报联系QQ：3909136），或。
若您下载的资源有问题或无法下载，请与本站客服人员联系（QQ：9190104）。破解基础—你到底有没有壳
我的图书馆
破解基础—你到底有没有壳
这个教程主要是讲判断程序是否加壳，所以老鸟飞过。很多人一看到这里，就会说用PEID查壳就行了呀，其实不然。现在& &一些商用的软件为了加密来保护知识产权，已不满足于ASProtect、ACProtect等这些有名的强壳，这些壳虽加密强度高，对新手来说遥不可及，但因为很多人研究，已经很容易手动脱壳。所以这些商家就想到了自行加壳（这在看雪的加密与解密中有提到）和修改程序入口的特征（搞黑客，做木马免杀的都知道），这样查壳工具就会显示无壳，但其实还是加了壳的，有时还不止一层壳。 & & 那怎么准确的判断是否加壳呢？这就是今天的主要内容。 & & 首先按照常规给软件查壳
07:58 上传
&&看上去没有壳，那我们再深入看看，点击PEID右下角的扩展信息试试 &&
07:58 上传
判断1: 你有没有压缩呀？ &&虽然壳有压缩壳和加密壳，但现在大多数的壳都有压缩功能，而现在PEID提示压缩的可能非常大，也就是说加壳的可能性很大，当然Ollydbg在载入时也有类似的提示。但这些还不能完全准确地判断，还是OD载入试试
07:58 上传
判断2:&&好多命令有问题哦！ 看见了吗，很多是未知命令或错误命令，一般程序不会是这样的吧！ 再看看
07:58 上传
判断3: 我知道你有多少 一般加壳程序为了不让人破解，就会加密一些重要的信息，比如文本字串，这个软件查找文本字串时会出现错误，显然作者有东西不让我们知道 到这里，同学们都知道这软件八成就是加壳的，那还有什么其他特征呢
07:58 上传
判断4: 跳转和循环 一般来说，加壳的软件一般都有很多的跳转，而且没有规律，大多是JMP，循环出现在算注册码的时候，但有时用在加壳程序在内存中解码的时候，所以可以作为脱壳的突破口
07:58 上传
判断5: 雷人的命令 这程序真的很雷人，004DA3C2的命令就是一个死循环，进去就出不来 说到这里，我突然想到有些壳会故意加这些命令来使OD提示异常，有些可以跳过，有些（比如这个软件）OD会提示无法回避命令，这样的话，个人推荐StrongOD插件，具体设置见图
07:58 上传
07:58 上传
设置好了，就可以跳过大多数的异常了，当然在记得在不用的时候把钩去掉 对于这种不明的壳，只有手动了，具体的手动操作大家可以在百度找“手动脱壳”，我就不提了 个人尝试了一下，找到一个疑似OEP的地方
07:58 上传
入口是Dephi的，而壳刚刚查过，是VC的，那么这是OEP的可能很大，脱壳试试
07:58 上传
修复过程很正常，但是运行时出错
07:58 上传
07:58 上传
07:58 上传
个人觉得奇怪的是既然系统提示出错，为何软件又运行了，难道是自校验。但也许是我修复输入表时有问题。 教程就写到这里了，牛人可以试试脱壳，能脱的，请回复一下，简要讲讲脱壳的过程，或是另外写一个帖子，反正就是要分享经验了。 把软件地址附上& &2011常识判断名师模块-伍景玉01.exe
TA的最新馆藏
喜欢该文的人也喜欢}