軟件破解教程-風(fēng)飄雪2009

1、軟件破解教程 風(fēng)飄雪 2009第一課 軟件殼和所用編程語言的識別軟件作者用編程語言編寫好軟件后 ,將它編譯成擴(kuò)展名為 exe 的可執(zhí)行文件。 （1）有一些版權(quán)信息需要保護(hù)起來, 不能讓其他人隨意改動(dòng) , 如作者的姓名、 軟件名稱、版本號等等。（ 2）需要給程序“減肥” , 使 exe 文件變小，從而方便存儲、使用和網(wǎng)上傳輸。這樣, 就會用到一些軟件 ,它們能將可執(zhí)行文件壓縮和對信息加密 ,實(shí)現(xiàn)上述兩個(gè)功能 這些軟件稱為 加殼軟件 。為軟件加上的 東東 就稱為 殼?！皻ぁ边@一名 詞來源于 動(dòng)植物 ， 如香香的花生豆外包裹 的花生殼、保護(hù)小動(dòng) 物蝸牛軟體而包裹的蝸牛殼、烏龜頂上（即 王八蓋子）的龜

2、殼等，將新潮的IT行業(yè)與傳統(tǒng)的手工作坊式的農(nóng)業(yè)、畜牧行業(yè)有機(jī)地 結(jié)合起來， 發(fā)揚(yáng)傳統(tǒng)， 繼往開 來， 也屬于 “揚(yáng)棄”吧！而且，這種東西愈演愈烈 ， 似乎已變成一種趨勢，一發(fā)而不可收， 逐漸地流 行起來。 如我們常用的搜索引擎 google ，就將其 中文官方名字命名為“谷歌”，濃郁的鄉(xiāng)土氣息 回蕩在山谷 ，將農(nóng)業(yè)與 IT 行業(yè)的結(jié)合發(fā)揮得淋漓盡致 。令你不得不迎合并接受 這種土 洋結(jié)合的變味的、 怪味的、讓 你說不出滋味 的“酸酸乳 ”，一如超女張靚穎 在歌壇中的 地位和發(fā)展速度，從 開始的不習(xí)慣 到慢慢習(xí)慣 而接受 ， 見怪 不怪， 習(xí)以為常。需要 特別說明 的 是： 加殼 軟件不 同 于

3、一 般的 winzip 、 winrar 等 打包類 壓縮軟件，它 們是壓縮可執(zhí)行文件的 , 壓縮后的文件可 以直接運(yùn) 行。最常見的加殼軟件有3個(gè)：ASPACK簡稱：小S,康熙來了當(dāng)家花旦）、UPX（小優(yōu)）、 PEcompact （小pp）。主流就是主流，用它們加 殼的軟件約占市面所 有軟件的80%好 高的市場占有率啊！其他常用的加殼軟件，如ASPROTECT大S,比較岀名的難殼之一， 小S的姐姐，很漂亮偶）、Armadillo 等因?yàn)檩^難，留待以后介紹。軟件 最常見的編程語言 主要是 Delphi 、 Visual Basic（ 簡稱 VB）、 Visual C+（ 簡稱 VC）、。 net

4、 。破解的第一步就是偵測岀 軟件的 殼和軟件 所用的編程語言。 具備這種“慧眼”的軟 件主要有以下幾個(gè)：PEiD（重點(diǎn)掌握，要求必會）、FFI、Exelnfo PE、DiE、FastScanner （這幾個(gè)一般性了解即可 ）。這類軟件稱為 偵殼軟件 。偵殼軟件就好 比是醫(yī)生的聽診器， 破解必備 且看病的第一步一定是用它。隨著加殼軟件的突飛猛進(jìn) 的發(fā)展，新殼不斷涌現(xiàn)。 這就逼迫著偵 殼軟件必須經(jīng)常不斷地更新，加入對新殼的識別，方能不 落伍。 慢慢地， PEiD由于功能最強(qiáng)、更新、最快而一統(tǒng)天下，成為偵殼軟件的老大”下面詳細(xì)介紹 一下偵殼軟件的使用方 法， 希望大家 能夠熟練掌握 ， 并利用它們，

5、 撥開殼的層層迷霧 ， 揭 開殼 的 神秘 面 紗 。這幾個(gè)偵殼軟件更新速度快 ，偵測準(zhǔn)確度高，故最受歡迎。為方便使用， 偵殼軟件 最好應(yīng)具備集成到 鼠標(biāo)右鍵菜單 的功能。 同時(shí)，作為一個(gè)好的 偵殼軟件， 應(yīng)具備可以自 行添加簽名、 支持插件、不斷更新軟件和數(shù)據(jù)庫、 支持拖放 等要素。PEiDPEiD（全稱為PE iDentifier）是具有GUI界面，可以方便地檢測岀軟件到底是使用什么工具加的殼，給脫殼、漢化、解密帶來了極大的便利。目前這個(gè)軟件可 以檢測岀 470種殼，識別率極高。界面直觀而簡潔，支持多文件掃描和對整個(gè)目錄進(jìn)行掃描，支 持拖放功能。經(jīng)測試驗(yàn)證，是目前各類查殼工具中性能最強(qiáng)的。

6、另外，若軟件無殼，則 在信息欄顯示文件是用什么語言編寫的，比如：VC+ Delphi、VB等。PEiD還能夠偵 測岀幾乎所有被打包、掩藏和編譯的PE文件。軟件主頁為。軟件界面如圖1.16所示：圖1.16 PEiD漢化版界面首先點(diǎn)擊“選項(xiàng)”按鈕進(jìn)行配置。掃描方法推薦選擇“核心掃描”；把“添加到鼠 標(biāo)右鍵”打上對號，如圖1.17。圖1.17配置PEiD以后選擇好目標(biāo)文件后，點(diǎn)鼠標(biāo)右鍵，選中“用PEiD掃描”，然后就會顯示岀殼的 信息，如 圖1.18 （以ex204為例）：陀 PEiD vO. 95文件 E:加密與解密實(shí)戰(zhàn)攻略ex204 exeEF St：首字節(jié):子磁入

7、口點(diǎn)：looooiaoo文件偏移.00000400連接黠版本；2.25SProtsct 1. 2 /1. 2c-> AlexeySolodovnikov條文件掃描（W查看進(jìn)程（X）關(guān)于®退出雨總在棗前g）圖1.18偵殼結(jié)果信息欄顯示的就是目標(biāo)程序的殼。信息欄顯示“ ASProtect 1.2 / 1.2c-> AlexeySolodovnikov ”說明是ASProtect 1.2 版或1.2c版的殼。-> 后為 開發(fā)者或公司，PEiD支持對整個(gè)目錄進(jìn)行偵殼，如圖1.19 :扌目錄廠關(guān)閉©1ilia in ii£!已鑒別5個(gè)文件共5亍文件口0.0

8、2秒PEiD參文件掃描器vD_02_ n|X文件信息E: 2«1. ax«m 0 89.6 - 1.02 7 1.05 - 1.24 g.E: 2ax2.ASP ack 2. 12Aleney Solvdovni kwE : 2exE0L. sxeASP ack Z. 12 -> Al«ie/ ScloiovnihovE:ZY«2O3.UPI-Scrambler RC1 x -> irfnLE:2»2O4. mASProtect 1.2 / 1.2c- Alesey Solod.*只晝示FE文件 廠遞歸掃描圖1.19用PEiD對整個(gè)

9、目錄進(jìn)行偵殼當(dāng)軟件無殼時(shí)，PEiD信息欄會顯示軟件的編程語言，如 圖1.20 :| vO. 95圖1.20軟件無殼時(shí)的PEiD界面圖1.20軟件無殼時(shí)的PEiD界面入口點(diǎn)、；0000739D文件偏移：00aa679D連接器版本：7 10LJ丄>|>I文件：|C：milD0*Suotep4d.EP 段；f首字節(jié):E扎70, 63, 98Microsoft Visual C+ 7.0調(diào)試簍文件掃描（M）查看進(jìn)程）選頂辺關(guān)于® |退出戸總在毘前即擴(kuò)展（IM| =>|子棗毓：Z i.n32 GUI圖1.20軟件無殼時(shí)的PEiD界面5 fhM S u 乙町1 "；

10、N|r |ii| I by Ni； * I This h imr i ；f liiidriif I(ZE 國當(dāng)岀現(xiàn)圖1.21的情況時(shí)，說明什么問題?文件:E ： 國外站點(diǎn)合集VK&ygenH占VKsygerJH色#3. EJCE 入口點(diǎn)： 00002000EP S.文件偏移，000008X首字節(jié)；連接器版本：1 67孑系統(tǒng)：.codsFF, 15,2比 04GUI>J>J>1肝么都投找到*|有兒但不認(rèn)識-多文件扌理 他 查看進(jìn)程H） |堆頂辺| 關(guān)于翅一|退出2總在量前電曠展信息±1圖1.24新殼已被PEiD識別5 fhM S u 乙町1 "； N

11、|r |ii| I by Ni； * I This h imr i ；f liiidriif I(ZE 國圖1.21程序有殼但PEiD不能識別說明：岀 現(xiàn)這種情況，程序一定是有殼的，只是殼的信息不在PEiD的數(shù)據(jù)庫中， 或者是新岀的殼，因此，為新殼或未知?dú)?。PEiD殼的數(shù)據(jù)庫 文件為userdb.txt 。外部 簽名文件為exter nal.txt，由圖1.17的PEiD配置可以設(shè)定是否啟用。插件：點(diǎn)擊右下角的-> 按鈕，即可啟動(dòng)插件。插件一般為dll （這3個(gè)字母必須為小寫）， 存放在plugins 子目錄下。插件的下載網(wǎng)站為 /和 http:/www.p

12、/BobSoft/。PEiD實(shí)用插件及功能 表1-1插件名稱功能VerA精確檢測ASProtect軟件的詳細(xì)版本號Add Sig nature增加新殼的簽名，擴(kuò)充用戶數(shù)據(jù)庫Ge nericOEPFin der通用入口點(diǎn)尋找Krypto ANALyzer來源于著名的密碼學(xué)工具軟件kanal，偵測軟件所采用的密碼 學(xué)算法PEiDgen ericUnpacker通用的自動(dòng)脫殼工具（第2章中詳解）Add Sig nature 插件比較實(shí)用。以一個(gè)不常用名稱為" 12311134 "的殼為例。這個(gè)殼 原本舊版PEiD是不認(rèn)識的，偵測時(shí)會顯示圖1.21的情況。點(diǎn)選Add

13、 Sig nature 插件， 彈岀圖1.22所示窗口。"&!吧" j !>-*?;:'Or,k k 4 i| mri in>iI. f>' I T! i id： ”I i mlki|ilJ J Ji If i'HI.IIIf I J i Bl dl H'i1.<3 3, ypg 氓 t _5sretf < 18 二 AdtC IS 51 fl rt. 65 Itlfcfl ：£/ 1 «4CTC?j S5；匚卜疔 t kill tt 土I "i I *>1 “ Til

14、i num i ti!mi i i . H|iii. ill.-* '-/L4殆虬； 盧jm-； 5. T T 7刖轉(zhuǎn)怪二甲j jf鼻髦11Tl'fl 1E*：i Q* IIIC： 屮 nice L； FJT-CGi riaT It imy V5_i JrtPihCI T 15 E；K：a：i弋占IT ELTC3-1 FC £3Z!. EZ 中 7U 咅" I S3 氐三F£ - J1Zl*rF J- C1MI 僧匚蟲 JT 1C5-圖1.22 Add Sig nature插件主界面"fe 礪 r*屮凸叫點(diǎn)1Z-1MS売的特征碼Lw ：3

15、_ID點(diǎn)“Sean EP for Sig ”按鈕，插件會捕捉64位特征碼存入userdb.txt 。File Type 行填入12311134 ->Xiao ，命名殼的名稱和作者，如 圖1.23。點(diǎn)擊“Save to UseDB ' 新殼信息即存入userdb.txt 文件的末尾。圖1.24新殼已被PEiD識別5 fhM S u 乙町1 "； N|r |ii| I by Ni； * I This h imr i ；f liiidriif I(ZE 國圖1.24新殼已被PEiD識別5 fhM S u 乙町1 "； N|r |ii| I by Ni； * I Th

16、is h imr i ；f liiidriif I(ZE 國丄回_>J>J圖1.23 添加殼的簽名再次用PEiD偵測目標(biāo)文件，發(fā)現(xiàn)成功了，結(jié)果如圖1.24所示胖FEiD vO. 94口|百滅文件：E:12311134UnPackMe_12311134 exe入口點(diǎn)：00066280EF X g :Xio文件偏移量：O00342BO第個(gè)宇節(jié):EF, 4C, E0, 46鏈接器信息：0子系筑：|Ti趣GUI12311134 -5«Tm *|多立用醸(!)|曲M辭訶|選頂(D) |關(guān)于巴| |退出QD 2停留在最前端叵|三圖1.24新殼已被PEiD識別二、其他這類軟件還有很多，

17、例如 pe-scan、PE Sniffer 、fileinfo 、Exeinfo PE、DiE、 FastSca nn er、FFI等，后四種比較新。使用方 法和上面的軟件差別不大，下面給予簡 要介紹。1.pe-scanpe-scan的界面如圖1.25 :圖 1.25 pe-sca n 界面為方便使用，在“選項(xiàng)”中配置如圖1.26所示：圖1.26 pe-sca n配置選項(xiàng)2.FFIFFI全稱為File Format Identifier ，為超級巡警病毒分析 工具之一。是一款輔助 進(jìn)行各種文件 格式識別和病毒分析 的工具。網(wǎng)站 。界面如圖 1.27 :圖1.27 FFI運(yùn)行界面FFI具有更換皮

18、膚功能，使 得界面更漂亮，可在設(shè)置中切換自己喜歡的皮膚風(fēng)格圖1.28 FFI的“ Options ”設(shè)置選項(xiàng)3. FastSca nnerAT4RE組織岀品的FastScanner能識別2017種簽名，界面如圖1.29所示:圖1.29 FastSca nner運(yùn)行界面其特點(diǎn)是支持插件、數(shù)據(jù)庫升級、插件升級、擴(kuò)展到 鼠標(biāo)右鍵。如圖1.30 :圖 1.30 FastSca nner的配置4. Exeinfo PE一款2006年推岀的偵殼軟件，更新速度較快，目前能識別407種殼。其網(wǎng)站為:http:/www.exeinfo.go.pl（需要代理才能訪問）。運(yùn)行界面如圖1.31?？蓪鵈xeinf o

19、FE - ver. 0. 0. 1. 9 B by 5. L -40T si,.匸LFile :1 note|Mcl-&spacl<212.exeFile Size ;Image is 32bit executableFfe Offset;Linker Info :Entry Paint :ooQ EP Sectiion :First Bytes :60.Ed.03.00.00Subsystem : Win32 GUIOverlay ;no oaoooaoofapatkv2L2A Alaxe* Solodovnikov 殼Lamer Info - Help Hint - Unpa

20、ck infounpack Stripper .exe v.2.07 (not 2.11) or AspackDie 1.4 - From /twj'Q G3沖聞BLPg ISE)QD圖1.31 exe in fope偵殼界面它的最大的特色是提供了詳盡的脫殼解決方案，這是其所獨(dú)有的唐門獨(dú)門暗 器。提示給你殼 Aspack2.12的解決辦法：脫殼采用Stripper.exe v.2.07 (not 2.11)或AspackDie 1.4。軟件可以換膚，有5種界面形式任君選擇。點(diǎn)Options按鈕，如圖1.32。 圖1.31所示界面為3號皮膚。圖1.32更換皮膚5.DiE軟件全稱為 DETECT iT EASY。軟件的網(wǎng) 站為 http:/hellspawn.nm.ru 。這也是一款較新的偵殼軟件，其特色是能同時(shí)顯示編程語言和 殼的信息，界面如圖1.33所示。Detert it Easy 0. 575«r Entro Extra Sections Import DisA$m Hex Options AboutFile rtanei crackme.ft