《第1课软件壳和所用编程语言的识别》由会员分享,可在线阅读,更多相关《第1课软件壳和所用编程语言的识别(10页珍藏版)》请在金锄头文库上搜索。
1、软件破解教程 风飘雪 2009本教程主要介绍了软件破解的通用方法和步骤,笔者用通俗的语言介绍了软件破解的入门知识,希望大家能够由此步入破解的殿堂,进入奇妙无比的破解天地。希望没有任何基础的人也能学会,则深感欣慰,不亦乐乎。第一口蛋糕的滋味第一次生病了需要喝药水第一次破解出第一款软件的欣慰第一次破解兴起熬了个通宵的激情.破解工具软件下载:http:/www.hanzify.org 一般能下到中文汉化版。http:/ 笔者风飘雪的网站第一课 软件壳和所用编程语言的识别软件作者用编程语言编写好软件后,将它编译成扩展名为 exe 的可执行文件。(1)有一些版权信息需要保护起来,不能让其他人随意改动,如
2、作者的姓名、软件名称、版本号等等。(2)需要给程序“减肥”,使 exe 文件变小,从而方便存储、使用和网上传输。这样,就会用到一些软件,它们能将可执行文件压缩和对信息加密,实现上述两个功能,这些软件称为加壳软件。为软件加上的东东就称为壳。 “壳”这一名词来源于动植物,如香香的花生豆外包裹的花生壳、保护小动物蜗牛软体而包裹的蜗牛壳、乌龟顶上(即王八盖子)的龟壳等,将新潮的 IT 行业与传统的手工作坊式的农业、畜牧行业有机地结合起来,发扬传统,继往开来,也属于“扬弃”吧!而且,这种东西愈演愈烈,似乎已变成一种趋势,一发而不可收,逐渐地流行起来。如我们常用的搜索引擎 google,就将其中文官方名字
3、命名为“谷歌” ,浓郁的乡土气息回荡在山谷,将农业与 IT 行业的结合发挥得淋漓尽致。令你不得不迎合并接受这种土洋结合的变味的、怪味的、让你说不出滋味的“酸酸乳” ,一如超女张靓颖在歌坛中的地位和发展速度,从开始的不习惯到慢慢习惯而接受,见怪不怪,习以为常。需要特别说明的是:加壳软件不同于一般的 winzip、winrar 等打包类压缩软件,它们是压缩可执行文件的,压缩后的文件可以直接运行。 最常见的加壳软件有 3 个:ASPACK(简称:小 S,康熙来了当家花旦) 、UPX(小优) 、PEcompact(小 pp) 。主流就是主流,用它们加壳的软件约占市面所有软件的80%,好高的市场占有率啊
4、!其他常用的加壳软件,如 ASPROTECT(大 S,比较出名的难壳之一,小 S 的姐姐,很漂亮偶 ) 、Armadillo 等因为较难,留待以后介绍。软件最常见的编程语言主要是 Delphi、Visual Basic(简称 VB)、Visual C+(简称 VC)、 。net。破解的第一步就是侦测出软件的壳和软件所用的编程语言。具备这种“慧眼”的软件主要有以下几个:PEiD(重点掌握,要求必会) 、FFI、ExeInfo PE、DiE、FastScanner(这几个一般性了解即可) 。这类软件称为侦壳软件。侦壳软件就好比是医生的听诊器,破解必备且看病的第一步一定是用它。随着加壳软件的突飞猛进
5、的发展,新壳不断涌现。这就逼迫着侦壳软件必须经常不断地更新,加入对新壳的识别,方能不落伍。慢慢地,PEiD 由于功能最强、更新、最快而一统天下,成为侦壳软件的老大” 。下面详细介绍一下侦壳软件的使用方法,希望大家能够熟练掌握,并利用它们,拨开壳的层层迷雾,揭开壳的神秘面纱。这几个侦壳软件更新速度快,侦测准确度高,故最受欢迎。为方便使用,侦壳软件最好应具备集成到鼠标右键菜单的功能。同时,作为一个好的侦壳软件,应具备可以自行添加签名、支持插件、不断更新软件和数据库、支持拖放等要素。一、 PEiDPEiD(全称为 PE iDentifier) 是具有 GUI 界面,可以方便地检测出软件到底是使用什么
6、工具加的壳,给脱壳、汉化、解密带来了极大的便利。目前这个软件可以检测出 470 种壳,识别率极高。界面直观而简洁,支持多文件扫描和对整个目录进行扫描,支持拖放功能。经测试验证,是目前各类查壳工具中性能最强的。另外,若软件无壳,则在信息栏显示文件是用什么语言编写的,比如:VC+、Delphi、VB 等。PEiD 还能够侦测出几乎所有被打包、掩藏和编译的 PE 文件。软件主页为 http:/peid.info。软件界面如图 1.16 所示:图 1.16 PEiD 汉化版界面首先点击“选项”按钮进行配置。扫描方法推荐选择“核心扫描” ;把“添加到鼠标右键”打上对号,如图 1.17。图 1.17 配置
7、 PEiD以后选择好目标文件后,点鼠标右键,选中“用 PEiD 扫描” ,然后就会显示出壳的信息,如图 1.18(以 ex204 为例):图 1.18 侦壳结果信息栏显示的就是目标程序的壳。信息栏显示“ASProtect 1.2 / 1.2c- Alexey Solodovnikov”说明是 ASProtect 1.2 版或 1.2c 版的壳。-后为开发者或公司。PEiD 支持对整个目录进行侦壳,如图 1.19:图 1.19 用 PEiD 对整个目录进行侦壳当软件无壳时,PEiD 信息栏会显示软件的编程语言,如图 1.20:图 1.20 软件无壳时的 PEiD 界面当出现图 1.21 的情况时
8、,说明什么问题?图 1.21 程序有壳但 PEiD 不能识别说明:出现这种情况,程序一定是有壳的,只是壳的信息不在 PEiD 的数据库中,或者是新出的壳,因此,为新壳或未知壳。PEiD 壳的数据库文件为 userdb.txt。外部签名文件为 external.txt,由图 1.17 的 PEiD 配置可以设定是否启用。插件:点击右下角的-按钮,即可启动插件。插件一般为 dll(这 3 个字母必须为小写) ,存放在 plugins 子目录下。插件的下载网站为 http:/peid.info/和 http:/www.peid.info/BobSoft/。PEiD 实用插件及功能 表 1-1插件名称
9、 功能VerA 精确检测 ASProtect 软件的详细版本号Add Signature 增加新壳的签名,扩充用户数据库Generic OEP Finder通用入口点寻找Krypto ANALyzer 来源于著名的密码学工具软件 kanal,侦测软件所采用的密码学算法PEiD generic Unpacker通用的自动脱壳工具(第 2 章中详解)Add Signature 插件比较实用。以一个不常用名称为“12311134 ”的壳为例。这个壳原本旧版 PEiD 是不认识的,侦测时会显示图 1.21 的情况。点选 Add Signature 插件,弹出图 1.22 所示窗口。图 1.22 Add
10、 Signature 插件主界面点“Scan EP for Sig”按钮,插件会捕捉 64 位特征码存入 userdb.txt。File Type行填入 12311134 -Xiao,命名壳的名称和作者,如图 1.23。点击“Save to UseDB” ,新壳信息即存入 userdb.txt 文件的末尾。图 1.23 添加壳的签名再次用 PEiD 侦测目标文件,发现成功了,结果如图 1.24 所示。图 1.24 新壳已被 PEiD 识别二、 其他这类软件还有很多,例如 pe-scan、PE Sniffer、fileinfo、Exeinfo PE、DiE、FastScanner、FFI 等,后
11、四种比较新。使用方法和上面的软件差别不大,下面给予简要介绍。1.pe-scanpe-scan 的界面如图 1.25:图 1.25 pe-scan 界面为方便使用,在“选项”中配置如图 1.26 所示:图 1.26 pe-scan 配置选项2.FFIFFI 全称为 File Format Identifier,为超级巡警病毒分析工具之一。是一款辅助进行各种文件格式识别和病毒分析的工具。网站 http:/。界面如图 1.27: 图 1.27 FFI 运行界面FFI 具有更换皮肤功能,使得界面更漂亮,可在设置中切换自己喜欢的皮肤风格。图 1.28 FFI 的“Options”设置选项3. FastS
12、cannerAT4RE 组织出品的 FastScanner 能识别 2017 种签名,界面如图 1.29 所示:图 1.29 FastScanner 运行界面其特点是支持插件、数据库升级、插件升级、扩展到鼠标右键。如图 1.30:图 1.30 FastScanner 的配置4. Exeinfo PE一款 2006 年推出的侦壳软件,更新速度较快,目前能识别 407 种壳。其网站为:http:/www.exeinfo.go.pl (需要代理才能访问) 。运行界面如图 1.31。图 1.31 exeinfope 侦壳界面它的最大的特色是提供了详尽的脱壳解决方案,这是其所独有的唐门独门暗器。提示给你
13、壳 Aspack2.12 的解决办法:脱壳采用 Stripper.exe v.2.07 (not 2.11) 或 AspackDie 1.4。软件可以换肤,有 5 种界面形式任君选择。点 Options 按钮,如图 1.32。图 1.31 所示界面为 3 号皮肤。图 1.32 更换皮肤5.DiE软件全称为 DETECT iT EASY。软件的网站为 http:/hellspawn.nm.ru。这也是一款较新的侦壳软件,其特色是能同时显示编程语言和壳的信息,界面如图 1.33 所示。图 1.33 DiE 界面点 Options 选项按钮,如图 1.34,可将其集成到鼠标右键菜单。图 1.34 设
14、置 DiE 配置,方便使用本章总结:本章介绍了五种侦壳软件,但重点应掌握 PEiD,其余做一般性了解即可。提示:侦壳时,初学者易犯的错误是直接侦测应用程序的安装文件,从而得出壳为 Nullsoft PiMP Stub Nullsoft PiMP SFX、Inno Setup Module Heuristic Mode Overlay等打包文件的、令人啼笑皆非的结果。正确的做法是先安装应用程序,然后侦测应用程序所在目录的主程序,也可以侦测桌面的应用程序快捷方式。作业:1.从网上下载 10 种共享软件,用各种侦壳软件侦测出它们的壳,写信给我交作业。标题为“第一课作业” 格式:软件,壳2.使 PEiD 常驻你的右键菜单。抓右键菜单的图寄给我。标题为“第一课作业
