首页
社区
课程
招聘
[旧帖] [求助]怎么样通过OD判断软件是否加壳 0.00雪花
发表于: 2009-4-25 16:13 8717

[旧帖] [求助]怎么样通过OD判断软件是否加壳 0.00雪花

2009-4-25 16:13
8717
怎么样通过OD判断软件是否加壳????是不是只看载入时入口点是PUSHAD??还有没有别的特征,麻烦大家帮帮忙

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (20)
雪    币: 113
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
不知道看程序的OEP行不行。
常用的几种语言的开头部分记下来,OD载入后看程序开头。
2009-4-25 18:15
0
雪    币: 101
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
把软件导入OD后,去查看下ASCII,如果代码很少或者没有,就应该是加壳的。呵呵,我是个初学者,这个方法不一定正确。
2009-4-25 18:18
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
怎么就没有高手回答呢
2009-4-29 15:10
0
雪    币: 92
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
如果用PEID的话应该很容易能看出来,如果非要用OD的话,那么首先你要背过所有壳的特征码,然后从OD里面一点一点的找,然后在一个一个的排除……
2009-4-29 15:14
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
6
听起来好像很难的样子
2009-4-29 15:58
0
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
恩,这算是一个简单的方法,或者用Peid查看都可以,不过加花了不行。
2009-4-29 16:03
0
雪    币: 414
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
一般加了壳的我感觉入口点会比代码区段的值要大~一般压缩壳~
2009-4-29 16:16
0
雪    币: 2134
活跃值: (14)
能力值: (RANK:170 )
在线值:
发帖
回帖
粉丝
9
看导入表,看运行后代码段是不是不一样,看大小,看入口点特征(哪个段,代码特征),其他好多好多特征,还有一块三毛钱有个熵判断是否加壳的。。。。。。。
2009-4-29 17:17
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
也进来了解 学习下
2009-4-29 17:52
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
看导入表,看运行后代码段是不是不一样,是什么意思
2009-5-1 19:40
0
雪    币: 2134
活跃值: (14)
能力值: (RANK:170 )
在线值:
发帖
回帖
粉丝
12
加壳后导入表会变化,如有的只剩下loadlibrary和getprocaddr之类的;代码段加壳后会被修改,如偷代码,压缩,加密,花指令,垃圾指令啥的,运行时要恢复或者跳走。。。,具体的要说就要说很多内容了,慢慢学习就会懂了,看雪老大的书上都有介绍哈~
2009-5-2 03:46
0
雪    币: 104
活跃值: (30)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
累不?非得OD?Peid专用查壳的是不是不会用?无聊的话题!菜鸟就表问些无聊的问题,有时间多看大牛的文章。
2009-5-2 15:43
0
雪    币: 256
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
Ctrl+N 自己对比一下就知道了!
2009-5-2 15:54
0
雪    币: 54
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
学习下  呵呵  了解OEP应该可以判断吧
2009-5-3 15:31
0
雪    币: 603
活跃值: (40)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
16
看代码,加了壳的一眼就可以看出来
2009-5-3 15:42
0
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
同意5楼,有必要非要OD看吗
2009-5-4 09:04
0
雪    币: 222
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
呵呵, 载入时入口点是PUSHAD。这个是UPX壳的特征。
2009-5-4 10:28
0
雪    币: 100
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
peid知道了,我也是新手
2009-5-4 15:59
0
雪    币: 603
活跃值: (40)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
20
都是牛人啊,汗列
2009-5-4 16:23
0
雪    币: 215
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
21
不要局限于一种工具,一种方式。。。
像搜索ASCII码字符串,是不错的一种方法,也比较简单。。。
还有就是自己写几个简单的常用语言写的EXE,用来做对比OEP分析。。如VB/VC/DEPHI/MASM等。。。看他们的入口点,是怎么处理的。。然后在对照一下,目标程序的入口处的代码。。。PEID还是非常不错的。。。
2009-5-4 17:43
0
游客
登录 | 注册 方可回帖
返回
//