加壳与脱壳


知识点

加壳原理:加壳器是将一个可执行文件作为输入,输出一个全新的可执行文件,被加壳的可执行文件经过压缩,加密或者其他转换。多数假客气采用压缩算法压缩原始文件,加壳器通过加密原始可执行文件并且实施一些反逆向技术的实现如防反汇编,反调试以及虚拟化等,加壳器既可以打包整个可执行文件,包括所有的数据与资源节,也可以仅打包代码和资源节。

脱壳存根:可执行程序的入口点直线脱壳存根而不是原始代码,原始程序通常存储在杰克程序的一个或者多个附加的节中,脱壳存根负责脱壳源程序:

  • 将原始程序脱壳到内存中
  • 解析原始可执行文件的所有导入函数
  • 将可执行程序转移到原始的程序入口点
Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×