对于PE可执行文件来说,为了保护可执行文件或者是压缩可执行文件,通常会对该文件进行加壳。接触过软件破解的人应该都清楚壳的概念。
PE文件结构中大多用的是偏移地址,因此,只要偏移地址和实际的数据相符,那么PE文件格式有可能是嵌套的。也就是说,PE文件是可以变形的,只要保证其偏移地址和PE文件格式的结构基本就没多大问题。对于PE可执行文件来说,为了保护可执行文件或者是压缩可执行文件,通常会对该文件进行加壳。
可能大家知道 PEiD,但是很久没更新了,Exeinfo PE 类似于 PEiD,而且还一直在更新。
上链接:https://pan.baidu.com/s/1ciDKOnTM0FmlU5U0nMboCg?pwd=xfhz 提取码:xfhz
在APK程序中有很多加固厂商,那么EXE也有很多加固程序,加壳工具通常分为压缩壳和加密壳两类。压缩壳的特点是减小软件体积大小,加密保护不是重点。目前兼容性和稳定性比较好的压缩壳有:
1、UPX(官方主页:http://upx.sourceforge.net):UPX是开源的,它的开发近乎完美,它不包含任何反调试或保护策略。
2、ASPack(官方主页:http://www.aspack.com):ASPack可压缩Win32位可执行文件EXE、DLL、OCX,具有很好的兼容性和稳定性。
3、PECompact(官方主页:http://www.bitsum.com)等。
UPX 压缩壳
加密壳种类比较多,不同的壳侧重点不同,一些壳单纯保护程序,另一些壳提供额外的功能,如提供注册机制、使用次数、时间限制等。目前比较流行的壳有:
1、ASProtect(官方主页:http://www.aspack.com):ASProtect很注重兼容性和稳定性,采用的反调试策略较少。此壳使用广泛,研究较多,有些版本有脱壳机。
2、EXECrptor(官方主页:http://www.strongbit.com):EXECrptor的Anti-Debug比较强大,做的比较隐蔽,并有虚拟机功能。
3、Armadillo(官方主页:http://www.siliconrealms.com):Armadillo是一款应用较广的加密壳。
4、Themida(官方主页:http://www.oreans.com): Themida 是Oreans的一款商业保护软件,加密强度很高。最大的特点就是其虚拟机保护技术,因此应在程序中擅用SDK,将关键的代码用虚拟机保护起来, Themida还有一个系列产品WinLicense主要多一个协议,可以设定使用时间、运行次数等功能,两者核心保护是一样的。
5、EncryptPE(官方主页:http://www.encryptpe.com):EncryptPE能防静态分析修改,反动态跟踪调试,有效地保护软件,防止盗版。EncryptPE采用众多加密保护手段:随机加密算法、CRC 校验、变形、代码替换、进程注入、APIHOOK、多线程、调试运行、全程监控等。
6、TTProtect(官方主页:http://www.ttprotect.com):TTProtect是后起之秀,加密强度非常高,吸收众多保护工具的优点,并加入了独有的特色功能;使用了特别的反跟踪方法,使得对保护对象的非法调试非常困难,并且对保护代码进行全局优化、乱序和混淆,使得非法分析相当困难。
VMP 加密壳
