软件破解教程-风飘雪2009

1、软件破解教程 风飘雪 2009第一课 软件壳和所用编程语言的识别软件作者用编程语言编写好软件后 ,将它编译成扩展名为 exe 的可执行文件。 （1）有一些版权信息需要保护起来, 不能让其他人随意改动 , 如作者的姓名、 软件名称、版本号等等。（ 2）需要给程序“减肥” , 使 exe 文件变小，从而方便存储、使用和网上传输。这样, 就会用到一些软件 ,它们能将可执行文件压缩和对信息加密 ,实现上述两个功能 这些软件称为 加壳软件 。为软件加上的 东东 就称为 壳。“壳”这一名 词来源于 动植物 ， 如香香的花生豆外包裹 的花生壳、保护小动 物蜗牛软体而包裹的蜗牛壳、乌龟顶上（即 王八盖子）的龟

2、壳等，将新潮的IT行业与传统的手工作坊式的农业、畜牧行业有机地 结合起来， 发扬传统， 继往开 来， 也属于 “扬弃”吧！而且，这种东西愈演愈烈 ， 似乎已变成一种趋势，一发而不可收， 逐渐地流 行起来。 如我们常用的搜索引擎 google ，就将其 中文官方名字命名为“谷歌”，浓郁的乡土气息 回荡在山谷 ，将农业与 IT 行业的结合发挥得淋漓尽致 。令你不得不迎合并接受 这种土 洋结合的变味的、 怪味的、让 你说不出滋味 的“酸酸乳 ”，一如超女张靓颖 在歌坛中的 地位和发展速度，从 开始的不习惯 到慢慢习惯 而接受 ， 见怪 不怪， 习以为常。需要 特别说明 的 是： 加壳 软件不 同 于

3、一 般的 winzip 、 winrar 等 打包类 压缩软件，它 们是压缩可执行文件的 , 压缩后的文件可 以直接运 行。最常见的加壳软件有3个：ASPACK简称：小S,康熙来了当家花旦）、UPX（小优）、 PEcompact （小pp）。主流就是主流，用它们加 壳的软件约占市面所 有软件的80%好 高的市场占有率啊！其他常用的加壳软件，如ASPROTECT大S,比较岀名的难壳之一， 小S的姐姐，很漂亮偶）、Armadillo 等因为较难，留待以后介绍。软件 最常见的编程语言 主要是 Delphi 、 Visual Basic（ 简称 VB）、 Visual C+（ 简称 VC）、。 net

4、 。破解的第一步就是侦测岀 软件的 壳和软件 所用的编程语言。 具备这种“慧眼”的软 件主要有以下几个：PEiD（重点掌握，要求必会）、FFI、Exelnfo PE、DiE、FastScanner （这几个一般性了解即可 ）。这类软件称为 侦壳软件 。侦壳软件就好 比是医生的听诊器， 破解必备 且看病的第一步一定是用它。随着加壳软件的突飞猛进 的发展，新壳不断涌现。 这就逼迫着侦 壳软件必须经常不断地更新，加入对新壳的识别，方能不 落伍。 慢慢地， PEiD由于功能最强、更新、最快而一统天下，成为侦壳软件的老大”下面详细介绍 一下侦壳软件的使用方 法， 希望大家 能够熟练掌握 ， 并利用它们，

5、 拨开壳的层层迷雾 ， 揭 开壳 的 神秘 面 纱 。这几个侦壳软件更新速度快 ，侦测准确度高，故最受欢迎。为方便使用， 侦壳软件 最好应具备集成到 鼠标右键菜单 的功能。 同时，作为一个好的 侦壳软件， 应具备可以自 行添加签名、 支持插件、不断更新软件和数据库、 支持拖放 等要素。PEiDPEiD（全称为PE iDentifier）是具有GUI界面，可以方便地检测岀软件到底是使用什么工具加的壳，给脱壳、汉化、解密带来了极大的便利。目前这个软件可 以检测岀 470种壳，识别率极高。界面直观而简洁，支持多文件扫描和对整个目录进行扫描，支 持拖放功能。经测试验证，是目前各类查壳工具中性能最强的。

6、另外，若软件无壳，则 在信息栏显示文件是用什么语言编写的，比如：VC+ Delphi、VB等。PEiD还能够侦 测岀几乎所有被打包、掩藏和编译的PE文件。软件主页为。软件界面如图1.16所示：图1.16 PEiD汉化版界面首先点击“选项”按钮进行配置。扫描方法推荐选择“核心扫描”；把“添加到鼠 标右键”打上对号，如图1.17。图1.17配置PEiD以后选择好目标文件后，点鼠标右键，选中“用PEiD扫描”，然后就会显示岀壳的 信息，如 图1.18 （以ex204为例）：陀 PEiD vO. 95文件 E:加密与解密实战攻略ex204 exeEF St：首字节:子磁入

7、口点：looooiaoo文件偏移.00000400连接黠版本；2.25SProtsct 1. 2 /1. 2c-> AlexeySolodovnikov条文件扫描（W查看进程（X）关于®退出雨总在棗前g）图1.18侦壳结果信息栏显示的就是目标程序的壳。信息栏显示“ ASProtect 1.2 / 1.2c-> AlexeySolodovnikov ”说明是ASProtect 1.2 版或1.2c版的壳。-> 后为 开发者或公司，PEiD支持对整个目录进行侦壳，如图1.19 :扌目录厂关闭©1ilia in ii£!已鉴别5个文件共5亍文件口0.0

8、2秒PEiD參文件扫描器vD_02_ n|X文件信息E: 2«1. ax«m 0 89.6 - 1.02 7 1.05 - 1.24 g.E: 2ax2.ASP ack 2. 12Aleney Solvdovni kwE : 2exE0L. sxeASP ack Z. 12 -> Al«ie/ ScloiovnihovE:ZY«2O3.UPI-Scrambler RC1 x -> irfnLE:2»2O4. mASProtect 1.2 / 1.2c- Alesey Solod.*只昼示FE文件 厂递归扫描图1.19用PEiD对整个

9、目录进行侦壳当软件无壳时，PEiD信息栏会显示软件的编程语言，如 图1.20 :| vO. 95图1.20软件无壳时的PEiD界面图1.20软件无壳时的PEiD界面入口点、；0000739D文件偏移：00aa679D连接器版本：7 10LJ丄>|>I文件：|C：milD0*Suotep4d.EP 段；f首字节:E扎70, 63, 98Microsoft Visual C+ 7.0调试篓文件扫描（M）查看进程）选顶辺关于® |退出戸总在毘前即扩展（IM| =>|子棗毓：Z i.n32 GUI图1.20软件无壳时的PEiD界面5 fhM S u 乙町1 "；

10、N|r |ii| I by Ni； * I This h imr i ；f liiidriif I(ZE 国当岀现图1.21的情况时，说明什么问题?文件:E ： 国外站点合集VK&ygenH占VKsygerJH色#3. EJCE 入口点： 00002000EP S.文件偏移，000008X首字节；连接器版本：1 67孑系统：.codsFF, 15,2比 04GUI>J>J>1肝么都投找到*|有兒但不认识-多文件扌理 他 查看进程H） |堆顶辺| 关于翅一|退出2总在量前电旷展信息±1图1.24新壳已被PEiD识别5 fhM S u 乙町1 "； N

11、|r |ii| I by Ni； * I This h imr i ；f liiidriif I(ZE 国图1.21程序有壳但PEiD不能识别说明：岀 现这种情况，程序一定是有壳的，只是壳的信息不在PEiD的数据库中， 或者是新岀的壳，因此，为新壳或未知壳。PEiD壳的数据库 文件为userdb.txt 。外部 签名文件为exter nal.txt，由图1.17的PEiD配置可以设定是否启用。插件：点击右下角的-> 按钮，即可启动插件。插件一般为dll （这3个字母必须为小写）， 存放在plugins 子目录下。插件的下载网站为 /和 http:/www.p

12、/BobSoft/。PEiD实用插件及功能 表1-1插件名称功能VerA精确检测ASProtect软件的详细版本号Add Sig nature增加新壳的签名，扩充用户数据库Ge nericOEPFin der通用入口点寻找Krypto ANALyzer来源于著名的密码学工具软件kanal，侦测软件所采用的密码 学算法PEiDgen ericUnpacker通用的自动脱壳工具（第2章中详解）Add Sig nature 插件比较实用。以一个不常用名称为" 12311134 "的壳为例。这个壳 原本旧版PEiD是不认识的，侦测时会显示图1.21的情况。点选Add

13、 Sig nature 插件， 弹岀图1.22所示窗口。"&!吧" j !>-*?;:'Or,k k 4 i| mri in>iI. f>' I T! i id： ”I i mlki|ilJ J Ji If i'HI.IIIf I J i Bl dl H'i1.<3 3, ypg 氓 t _5sretf < 18 二 AdtC IS 51 fl rt. 65 Itlfcfl ：£/ 1 «4CTC?j S5；匚卜疔 t kill tt 土I "i I *>1 “ Til

14、i num i ti!mi i i . H|iii. ill.-* '-/L4殆虬； 卢jm-； 5. T T 7刖轉怪二甲j jf鼻髦11Tl'fl 1E*：i Q* IIIC： 屮 nice L； FJT-CGi riaT It imy V5_i JrtPihCI T 15 E；K：a：i弋占IT ELTC3-1 FC £3Z!. EZ 中 7U 咅" I S3 氐三F£ - J1Zl*rF J- C1MI 僧匚虫 JT 1C5-图1.22 Add Sig nature插件主界面"fe 礪 r*屮凸叫点1Z-1MS売的特征码Lw ：3

15、_ID点“Sean EP for Sig ”按钮，插件会捕捉64位特征码存入userdb.txt 。File Type 行填入12311134 ->Xiao ，命名壳的名称和作者，如 图1.23。点击“Save to UseDB ' 新壳信息即存入userdb.txt 文件的末尾。图1.24新壳已被PEiD识别5 fhM S u 乙町1 "； N|r |ii| I by Ni； * I This h imr i ；f liiidriif I(ZE 国图1.24新壳已被PEiD识别5 fhM S u 乙町1 "； N|r |ii| I by Ni； * I Th

16、is h imr i ；f liiidriif I(ZE 国丄回_>J>J图1.23 添加壳的签名再次用PEiD侦测目标文件，发现成功了，结果如图1.24所示胖FEiD vO. 94口|百灭文件：E:12311134UnPackMe_12311134 exe入口点：00066280EF X g :Xio文件偏移量：O00342BO第个宇节:EF, 4C, E0, 46链接器信息：0子系筑：|Ti趣GUI12311134 -5«Tm *|多立用醸(!)|曲M辭诃|选顶(D) |关于巴| |退出QD 2停留在最前端叵|三图1.24新壳已被PEiD识别二、其他这类软件还有很多，

17、例如 pe-scan、PE Sniffer 、fileinfo 、Exeinfo PE、DiE、 FastSca nn er、FFI等，后四种比较新。使用方 法和上面的软件差别不大，下面给予简 要介绍。1.pe-scanpe-scan的界面如图1.25 :图 1.25 pe-sca n 界面为方便使用，在“选项”中配置如图1.26所示：图1.26 pe-sca n配置选项2.FFIFFI全称为File Format Identifier ，为超级巡警病毒分析 工具之一。是一款辅助 进行各种文件 格式识别和病毒分析 的工具。网站 。界面如图 1.27 :图1.27 FFI运行界面FFI具有更换皮

18、肤功能，使 得界面更漂亮，可在设置中切换自己喜欢的皮肤风格图1.28 FFI的“ Options ”设置选项3. FastSca nnerAT4RE组织岀品的FastScanner能识别2017种签名，界面如图1.29所示:图1.29 FastSca nner运行界面其特点是支持插件、数据库升级、插件升级、扩展到 鼠标右键。如图1.30 :图 1.30 FastSca nner的配置4. Exeinfo PE一款2006年推岀的侦壳软件，更新速度较快，目前能识别407种壳。其网站为:http:/www.exeinfo.go.pl（需要代理才能访问）。运行界面如图1.31。可冈Exeinf o

19、FE - ver. 0. 0. 1. 9 B by 5. L -40T si,.匸LFile :1 note|Mcl-&spacl<212.exeFile Size ;Image is 32bit executableFfe Offset;Linker Info :Entry Paint :ooQ EP Sectiion :First Bytes :60.Ed.03.00.00Subsystem : Win32 GUIOverlay ;no oaoooaoofapatkv2L2A Alaxe* Solodovnikov 壳Lamer Info - Help Hint - Unpa

20、ck infounpack Stripper .exe v.2.07 (not 2.11) or AspackDie 1.4 - From /twj'Q G3冲闻BLPg ISE)QD图1.31 exe in fope侦壳界面它的最大的特色是提供了详尽的脱壳解决方案，这是其所独有的唐门独门暗 器。提示给你壳 Aspack2.12的解决办法：脱壳采用Stripper.exe v.2.07 (not 2.11)或AspackDie 1.4。软件可以换肤，有5种界面形式任君选择。点Options按钮，如图1.32。 图1.31所示界面为3号皮肤。图1.32更换皮肤5.DiE软件全称为 DETECT iT EASY。软件的网 站为 http:/hellspawn.nm.ru 。这也是一款较新的侦壳软件，其特色是能同时显示编程语言和 壳的信息，界面如图1.33所示。Detert it Easy 0. 575«r Entro Extra Sections Import DisA$m Hex Options AboutFile rtanei crackme.ft