【顶部按钮】
l:日志 e:模块 m: 内存 t:线程 w:窗口 h:句柄
c:反汇编窗口 p: 修改过的信息 k:调用堆栈
查看区段如下:
入口点是固定的代码,入口调用的API也是相同的,push地址可能不同,区段也是四个相同的 .text .rdata .data .rsrc ,
②,vs2008和vs2013编译的软件:
PEID查看区段如下:
VS2008和2013的特点:入口点只有两行代码,一个CALL后直接JMP,第一个CALL进去后调用的API也是相同的,区段相对于VC6多了一个.reloc。
③,易语言编译无壳程序(独立编译和非独立编译)
易语言独立编译是调用VC的链接程序编译的,所以从区段和入口代码特征和VC相同,下图为非独立编译带运行库
查看模块:
易语言特征:非独立编译比较容易识别,入口特征和模块特征都可以发现krnln.fnr
二,如何识别壳
①利用工具
目前exeinfo PE比较流行,原理都是通过数据库和加壳程序特征比较查壳的。PEID的话对vmp的加壳程序经常会识别出乱七八槽的错误。
②通过入口特征和区段特征来识别
区段信息就是工具上可以看的EP段,入口特征就是od载入按下Ctrl+A分析代码得到的一些代码。
三,程序壳种类大致介绍
windows程序状态大体可以分为以下几种类型:未加壳、压缩壳、传统加密壳、代码虚拟化保护、.Net程序加密