SAC反外挂研究所メ加壳免杀与脱壳反编译.
今日我们要写的是“加壳免杀与脱壳反编译.”
下面是正文.
第一、什么是免杀?
免杀,也就是反病毒(Anti Virus)与反间谍(Anti Spyware)的对立面,英文为Anti Anti- Virus(简写Virus AV),逐字翻译为“反-反病毒”,我们可以翻译为“反杀毒技术”。单从汉语“免杀”的字面意思来理解,可以将其看为一种能使病毒木马免于被杀毒软件查杀的技术。但是不得不客观地说,免杀技术的涉猎面非常广,您可以由此轻松转型为反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术,由此可见免杀并不简单。
第二、什么是加壳?
加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段. 其实是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后,先于原始程序执行,得到控制权,执行过程中对原始程序进行解密、还原,还原完成后再把控制权交还给原始程序,执行原来的代码部分。加上外壳后,原始程序代码在磁盘文件中一般是以加密后的形式存在的,只在执行时在内存中还原,这样就可以比较有效地防止破解者对程序文件的非法修改,同时也可以防止程序被静态反编译.
第三、什么是脱壳?
脱壳是站在加壳的对立面的,如果说加壳是变化,脱壳就是还原.
第四、什么是反编译?
高级语言源程序经过 编译 变成可执行文件,反编译就是逆过程。
但是通常不能把可执行文件变成高级语言源代码,只能转换成汇编程序。
计算机软件反向工程(Reversepengineering)也称为计算机软件还原工程,是指通过对他人软件的目标程序(可执行程序)进行“逆向分析、研究”工作,以推导出他人的软件产品所使用的思路、原理、结构、算法、处理过程、运行方法等设计要素,作为自己开发软件时的参考,或者直接用于自己的软件产品中。
以上都是专业知识,想知道更多,请去百度...
以下才是我要说的.(本人文化素质不高,写得不好请大家见谅.)
现在很多外挂制作者做的东西不是带毒就是带马,带毒并不可恨,可恨的是它带木马.
简单说吧,加壳就是免杀,再简单说吧,加壳可以实现免杀.
为什么要写加壳免杀呢,是要让大家知道,杀毒软件并不是能查杀所有病毒的,加壳可以实现免杀,杀毒软件查杀不到,那我们就要把这个病毒脱壳!打个比喻,你看的一个黄片,它竟然有马赛克,是不是看得不爽?是不是欲求不满?那我们就要想办法去掉这马赛克,这就是加壳与脱壳.(这样能理解了吧)
我拿个事实证明下吧,DNF版块以前点亮过一个外挂叫咩咩破解版,制作外挂的作者把软件加过壳的,金山毒霸只是报病毒,并未报木马,网页查杀报告是58%,我用脱壳工具把咩咩破解版破解后再去查杀,基本上有全套(也就是反病毒与反木马套装)的都把这个木马报出来了,查杀报告高大82%,这说明了加壳的厉害之处,证明了高手加壳完全可以做到免杀.印证了那句话,加壳就是免杀,加壳实现免杀.
以前是教大家睁大眼睛,告诫游戏玩家使用外挂不要单纯的只会靠杀毒软件.
下面是脱壳与反编译
脱壳上面说明了,脱壳是站在加壳的对立面的,如果说加壳是变化,脱壳就是还原.
再打个比方,一个美女穿衣服(加壳),你想看她裸体是不是要去脱她衣服(脱壳),脱光光了不就什么都可以看到了?(- -再次申明本人文化程度不高...汗颜一个先)
把加壳过的病毒文件脱壳后一般杀毒软件都可以查杀出来,把文件脱壳后那个文件就是没有保护的文件,我们可以用反编译工具把它的源代码改变,改为自己的,很邪恶吧.
我原先是DNF版主,我就用DNF外挂来讲解脱壳反编译吧.
GE,玩过DNF的都知道这个游戏修改器,很好很强大,改图,改技能,改无限疲劳...
但是TX检测了它的源代码,使用GE进入游戏就会出非法模块,我们怎么办呢?当然是改变它的源代码让它实现不非法咯~
我常用的反编译工具是OD,全名为ollydbg.
加壳过的程序一般是不能反编译的,我们用脱壳工具脱壳即可,在这里为大家推荐一款自动脱壳机:超级巡警脱壳机,下载请到官方.
如何反编译呢?
我们先用超级巡警脱壳机把GE脱壳,然后用OD打开,下面是图文教程了.
[attachment=1101964]
[attachment=1101965]
[attachment=1101966]
[attachment=1101967]
[attachment=1101968]
[attachment=1101969]
[attachment=1101970]
[attachment=1101971]
还是那句话,非专业人士请勿轻易尝试,叔叔是有练过的...
[color=#CCCCCC]BY:煙草dē菋噵[/color]