lordpe是什么软件？

LordPE，就是一款功能牛逼的PE文件分析、修改、脱壳软件。LordPE是查看PE格式文件信息的首选工具，并且可以修改相关信息~~

输入表函数是什么，怎么改

重建输入表
常规壳（如UPX,北斗等），然后脱壳后修复时重建输入表

转移输入表函数『这次要讲的重点，具有代表性』*

加壳（最好是些猛壳之类的，如ASProtect等，这个很灵活，要多尝试！）

以上只是理论，要运用到实际上来还是有一定的差距，下面就利用第二种方法以一具体实例演示下，至于其它的两种呢，就留给大家自己研究吧！是的，这种方法很典型，所以本次屏幕录像就以它为重点讲解并演示。希望大家能掌握好！

首先让瑞星来查杀下，可以看到，瑞星是查杀的（提示信息为黑客工具，我们忽略）。
为了节省时间，特征码在做录像之前我已经定位好了（相信大家都会定位特征码吧）。特征处如下：

00001EAE 『目标程序是s扫描器，一款命令行下使用的扫描器，很强大！』

说下本次演示使用到的工具：

C32ASM,Lordpe,计算器（就这三样）

具体步骤：

A.使用C32ASM打开目标程序，找到特征处的输入表函数，复制下函数名（并把此处函数名用90填充掉）,记录下起始地址，找到移动地址（我们把这个输入表函数向空白处移动『一般往下移动』，尽量移动远 点，这里我们移动到最底部。）。把这个输入表函数GetProcAddress名复制到移动处后，另存一份文件为exe.exe。

（注意：GetProcAddress就是这个输入表函数，不能修改字符大小写的，得转移下。）

B.使用计算器计算移动的大小，注意是16进制计算：（看C32ASM底部提示）移动『十进制』－>334字节
『十六进制』－>14E

用瑞星查杀看看，是不被杀的，但是不能运行，看错误提示，那是输入表函数没处理好的结果！

C.使用Lordpe打开目标程序exe.exe，找到目录，导入表，找到第一个动态链接库，修改第二个输入表函数的 ThunkVaule，右键编辑就行。
原来Thunk值：0001C0A0。而我们把这个函数向下移动了14E（十六进制）字节，那么应该加上计算下

0001C0A0+14E=1C1EE则Thunk值变为：1C1EE。编辑进去！填写上API名称，即是那输入表函数名：
GetProcAddress。保存下就OK了。

什么叫外壳文件

壳是什么？脱壳又是什么？这是很多经常感到迷惑和经常提出的问题，其实这个问题一点也不幼稚。当你想听说脱壳这个名词并试着去了解的时候，说明你已经在各个安全站点很有了一段日子了。下面，我们进入“壳”的世界吧。 一、金蝉脱壳的故事 我先想讲个故事吧。那就是金蝉脱壳。金蝉脱壳属于三十六计中的混战计。金蝉脱壳的本意是：寒蝉在蜕变时，本体脱离皮壳而走，只留下蝉蜕还挂在枝头。此计用于军事，是指通过伪装摆脱敌人，撤退或转移，以实现我方的战略目标的谋略。稳住对方，撤退或转移，决不是惊慌失措，消极逃跑，而是保留形式，抽走内容，稳住对方，使自己脱离险境达到己方战略目标，己方常常可用巧妙分兵转移的机会出击另一部分敌人。三国时期，诸葛亮六出祁山，北伐中原，但一直未能成功，终于在第六次北伐时，积劳成疾，在五丈原病死于军中。 维遵照诸葛亮的吩咐，在诸葛亮死后，秘不发丧，对外严密封锁消息。他带着灵柩，秘密率部撤退。司马懿派部队跟踪追击蜀军。姜维命工匠仿诸葛亮摸样，雕了一个木人，羽扇纶巾，稳坐车中。并派杨仪率领部分人马大张旗鼓，向魏军发动进攻。魏军远望蜀军，军容整齐，旗鼓大张，又见诸葛亮稳坐车中，指挥若定，不知蜀军又耍什么花招，不敢轻举妄动。司马懿一向知道诸葛亮“诡计多端”，又怀疑此次退兵乃是诱敌之计，于是命令部队后撤，观察蜀军动向。姜维趁司马懿退兵的大好时机，马上指挥主力部队，迅速安全转移，撤回汉中。等司马懿得知诸葛亮已死，再进兵追击，为时已晚。相信这个故事，大家在大型连续剧《三国演义》里已经看过了。呵呵，只是没有理解得这么深入罢了！而在黑客入侵技术中，金蝉脱壳则是指：删除系统运行日志 攻击者攻破系统后，常删除系统运行日志，隐藏自己的痕迹...呵呵 二、壳，脱壳，加壳 在自然界中，我想大家对壳这东西应该都不会陌生了，由上述故事，我们也可见一斑。自然界中植物用它来保护种子，动物用它来保护身体等等。同样，在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然（但后来也出现了所谓的“壳中带籽”的壳）。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样，其实都是命名上的方法罢了。 从功能上抽象，软件的壳和自然界中的壳相差无几。无非是保护、隐蔽壳内的东西。而从技术的角度出发，壳是一段执行于原始程序前的代码。原始程序的代码在加壳的过程中可能被压缩、加密……。当加壳后的文件执行时，壳－这段代码先于原始程序运行，他把压缩、加密后的代码还原成原始程序代码，然后再把执行权交还给原始代码。 软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的OEP（入口点，防止被破解）。关于“壳”以及相关软件的发展历史请参阅吴先生的《一切从“壳”开始》。 （一）壳的概念 作者编好软件后，编译成exe可执行文件。 1.有一些版权信息需要保护起来，不想让别人随便改动，如作者的姓名，即为了保护软件不被破解，通常都是采用加壳来进行保护。 2.需要把程序搞的小一点，从而方便使用。于是，需要用到一些软件，它们能将exe可执行文件压缩， 3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能，这些软件称为加壳软件。 （二）加壳软件最常见的加壳软件 ASPACK ，UPX，PEcompact 不常用的加壳软件WWPACK32；PE-PACK ；PETITE NEOLITE （三）侦测壳和软件所用编写语言的软件 因为脱壳之前要查他的壳的类型。 1.侦测壳的软件fileinfo.exe 简称fi.exe（侦测壳的能力极强）。 2.侦测壳和软件所用编写语言的软件language.exe（两个功能合为一体，很棒），推荐language2000中文版（专门检测加壳类型）。 3.软件常用编写语言Delphi，VisualBasic（VB）---最难破，VisualC（VC）。 （四）脱壳软件 软件加壳是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具，当然有盾，自然就有矛，只要我们收集全常用脱壳工具，那就不怕他加壳了。软件脱壳有手动脱和自动脱壳之分，下面我们先介绍自动脱壳，因为手动脱壳需要运用汇编语言，要跟踪断点等，不适合初学者，但我们在后边将稍作介绍。 加壳一般属于软件加密，现在越来越多的软件经过压缩处理，给汉化带来许多不便，软件汉化爱好者也不得不学习掌握这种技能。现在脱壳一般分手动和自动两种，手动就是用TRW2000、TR、SOFTICE等调试工具对付，对脱壳者有一定水平要求，涉及到很多汇编语言和软件调试方面的知识。而自动就是用专门的脱壳工具来脱，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX；有些不提供这功能，如：ASPACK，就需要UNASPACK对付，好处是简单，缺点是版本更新了就没用了。另外脱壳就是用专门的脱壳工具来对付，最流行的是PROCDUMP v1.62 ，可对付目前各种压缩软件的压缩档。在这里介绍的是一些通用的方法和工具，希望对大家有帮助。我们知道文件的加密方式，就可以使用不同的工具、不同的方法进行脱壳。下面是我们常常会碰到的加壳方式及简单的脱壳措施，供大家参考： 脱壳的基本原则就是单步跟踪，只能往前，不能往后。脱壳的一般流程是：查壳->寻找OEP->Dump->修复 找OEP的一般思路如下： 先看壳是加密壳还是压缩壳，压缩壳相对来说容易些，一般是没有异常，找到对应的popad后就能到入口，跳到入口的方式一般为。 我们知道文件被一些压缩加壳软件加密，下一步我们就要分析加密软件的名称、版本。因为不同软件甚至不同版本加的壳，脱壳处理的方法都不相同。 常用脱壳工具：1、文件分析工具（侦测壳的类型）：Fi，GetTyp，peid，pe-scan， 2、OEP入口查找工具：SoftICE，TRW，ollydbg，loader，peid 3、dump工具：IceDump，TRW，PEditor，ProcDump32，LordPE 4、PE文件编辑工具PEditor，ProcDump32，LordPE 5、重建Import Table工具：ImportREC，ReVirgin 6、ASProtect脱壳专用工具：Caspr（ASPr V1.1-V1.2有效），Rad（只对ASPr V1.1有效），loader，peid（1）Aspack： 用的最多，但只要用UNASPACK或PEDUMP32脱壳就行了 （2）ASProtect+aspack：次之，国外的软件多用它加壳，脱壳时需要用到SOFTICE+ICEDUMP，需要一定的专业知识，但最新版现在暂时没有办法。 （3）Upx： 可以用UPX本身来脱壳，但要注意版本是否一致，用-D 参数 （4）Armadill： 可以用SOFTICE+ICEDUMP脱壳，比较烦 （5）Dbpe： 国内比较好的加密软件，新版本暂时不能脱，但可以破解 （6）NeoLite： 可以用自己来脱壳 （7）Pcguard： 可以用SOFTICE+ICEDUMP+FROGICE来脱壳 （8）Pecompat： 用SOFTICE配合PEDUMP32来脱壳，但不要专业知识 （9）Petite： 有一部分的老版本可以用PEDUMP32直接脱壳，新版本脱壳时需要用到SOFTICE+ICEDUMP，需要一定的专业知识 （10）WWpack32： 和PECOMPACT一样其实有一部分的老版本可以用PEDUMP32直接脱壳，不过有时候资源无法修改，也就无法汉化，所以最好还是用SOFTICE配合 PEDUMP32脱壳 我们通常都会使用Procdump32这个通用脱壳软件，它是一个强大的脱壳软件，他可以解开绝大部分的加密外壳，还有脚本功能可以使用脚本轻松解开特定外壳的加密文件。另外很多时候我们要用到exe可执行文件编辑软件ultraedit。我们可以下载它的汉化注册版本，它的注册机可从网上搜到。ultraedit打开一个中文软件，若加壳，许多汉字不能被认出 ultraedit打开一个中文软件，若未加壳或已经脱壳，许多汉字能被认出 ultraedit可用来检验壳是否脱掉，以后 它的用处还很多，请熟练掌握例如，可用它的替换功能替换作者的姓名为你的姓名注意字节必须相等，两个汉字替两个，三个替三个，不足处在ultraedit编辑器左边用00补。 常见的壳脱法： （一）aspack壳 脱壳可用unaspack或caspr 1.unaspack ，使用方法类似lanuage，傻瓜式软件，运行后选取待脱壳的软件即可. 缺点：只能脱aspack早些时候版本的壳，不能脱高版本的壳 2.caspr第一种：待脱壳的软件（如aa.exe）和caspr.exe位于同一目录下，执行windows起始菜单的运行，键入 caspr aa.exe脱壳后的文件为aa.ex_，删掉原来的aa.exe，将aa.ex_改名为aa.exe即可。使用方法类似fi 优点：可以脱aspack任何版本的壳，脱壳能力极强缺点：Dos界面。第二种：将aa.exe的图标拖到caspr.exe的图标上***若已侦测出是aspack壳，用unaspack脱壳出错，说明是aspack高版本的壳，用caspr脱即可。 （二）upx壳 脱壳可用upx待脱壳的软件（如aa.exe）和upx.exe位于同一目录下，执行windows起始菜单的运行，键入upx -d aa.exe。 （三）PEcompact壳 脱壳用unpecompact 使用方法类似lanuage傻瓜式软件，运行后选取待脱壳的软件即可。 （四）procdump 万能脱壳但不精，一般不要用 使用方法：运行后，先指定壳的名称，再选定欲脱壳软件，确定即可脱壳后的文件大于原文件由于脱壳软件很成熟，手动脱壳一般用不到。 三、压缩与脱壳 现在脱壳一般分手动和自动两种，手动就是用TRW2000、TR、SOFTICE等调试工具对付，对脱壳者有一定水平要求。而自动就稍好些，用专门的脱壳工具来脱，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX；有些不提供这功能，如：ASPACK，就需要UNASPACK对付。很多文件使用了一些压缩加壳软件加密过，这就需要对文件进行解压脱壳处理后，才能汉化。这种压缩与我们平时接触的压缩工具如winzip，winrar等压缩不同，winzip和winrar等压缩后的文件不能直接执行，而这种 EXE 压缩软件，EXE文件压缩后，仍可以运行。这种压缩工具把文件压缩后，会在文件开头一部分，加了一段解压代码。执行时该文件时，该代码先执行解压还原文件，不过这些都是在内存中完成的，由于微机速度快，我们基本感觉不出有什么不同。这样的程序很多，如 The bat，Acdsee，Winxfile等等。 要脱壳就应先了解常用压缩工具有哪些，这样知己知彼，如今越来越多的软件商喜欢用压缩方式发行自己的产品，如The bat！用UPX压缩，ACDSEE3.0用ASPACK压缩等。它有以下因素：一是：微机性能越来越好，执行过程中解压使人感觉不出来，用户能接受（给软件加壳，类似WINZIP 的效果，只不过这个加壳压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。解压原理，是加壳工具在文件头里加了一段指令，告诉CPU，怎么才能解压自己。现在的CPU都很快，所以这个解压过程你看不出什么异常。因为软件一下子就打开了，只有你机器配置非常差，才会感觉到不加壳和加壳后的软件运行速度的差别。）。 二是：压缩后软件体积缩小，便于网络传输。三是：增加破解的难度。首先，加壳软件不同于一般的winzip，winrar等压缩软件.它是压缩exe可执行文件的，压缩后的文件可以直接运行.而winzip，winrar等压缩软件可压缩任何文件，但压缩后不能直接运行。很多站点不允许上传可执行文件，而只能上传压缩的文件，一方面处于速度考虑，也是为了安全性考虑。用加壳软件压缩的文件就是体积缩小，别的性质没改变。还是EXE文件，仍可执行，只是运行过程和以前不一样了。压缩工具把文件压缩后，在文件开头一部分，加了一段解压代码。执行时该文件时，该代码先执行解压还原文件，不过这些都是在内存中完成的，由于微机速度快，我们基本感觉不出有什么不同。 四﹑加壳与木马 木马危害无穷，但是随着人们对各种木马知识的了解，杀毒和专杀工具的特殊照顾，使得很多木马无藏身之地，但很多高手到处卖马，号称不会被查杀。它们究竟是如何躲在我们的系统中的呢？ 其实无非对木马进行“加/脱壳”。对于黑客来说，加/脱壳技术被淋漓尽致地应用到了伪装木马客户端上，目的是为了防止被杀毒软件反跟踪查杀和被跟踪调试，同时也防止算法程序被别人静态分析。最基本的隐藏：不可见窗体＋隐藏文件。木马程序 采用“进程隐藏”技术： 第一代进程隐藏技术：Windows 98的后门 。第二代进程隐藏技术：进程插入，以及 其后的Hook技术之外就是跟杀毒软件对着干：反杀毒软件外壳技术了。木马再狡猾，可是一旦被杀毒软件定义了特征码，在运行前就被拦截了。要躲过杀毒软件的追杀，很多木马就被加了壳，相当于给木马穿了件衣服，这样杀毒软件就认不出来了，但有部分杀毒软件会尝试对常用壳进行脱壳，然后再查杀（小样，别以为穿上件马夹我就不认识你了）。除了被动的隐藏外，最近还发现了能够主动和杀毒软件对着干的壳，木马在加了这种壳之后，一旦运行，则外壳先得到程序控制权，由其通过各种手段对系统中安装的杀毒软件进行破坏，最后在确认安全（杀毒软件的保护已被瓦解）后由壳释放包裹在自己“体内”的木马体并执行之。对付这种木马的方法是使用具有脱壳能力的杀毒软件对系统进行保护。壳能够将文件（比如EXE）包住，然后在文件被运行时，首先由壳获得控制权，然后释放并运行包裹着的文件体。很多壳能对自己包住的文件体进行加密，这样就可以防止杀毒软件的查杀。比如原先杀毒软件定义的该木马的特征是“12345”，如果发现某文件中含有这个特征，就认为该文件是木马，而带有加密功能的壳则会对文件体进行加密（如：原先的特征是“12345”，加密后变成了“54321”，这样杀毒软件当然不能靠文件特征进行检查了）。脱壳指的就是将文件外边的壳去除，恢复文件没有加壳前的状态。 虽然很多杀毒软件的文件监控都会使程序首次运行时速度很慢。这是因为：杀毒软件对压缩加壳的exe文件监控扫描时，都要先“脱壳”。一般压缩加壳程序，可加密压缩可执行文件的代码、数据、输入表、重定位表、资源段。通常压缩后的文件大小只有原来的50%-70%，但不影响程序的正常使用和所有功能，目的是保护文件不被跟踪分析，反汇编，脱壳等。所以有时候使用某软件给木马脱壳会失败，但可换个软件试下。脱壳后重新加壳或者使用不同加壳的软件给木马加多层壳，均有可能欺骗杀毒软件，但在经过复杂的多重加壳后，检测出的结果就不一定准确了，此时就需要“adv.scan”高级扫描， pe-scan会分析出被各种加壳工具加壳的可能性。 五﹑加壳与病毒 病毒要想生存，除了增加自身的变形能力以外，还可与程序加壳压缩联系起来。我们先来看看病毒变形的目的，因为现在的反病毒软件，基于特征码检测，增加变形能力，使得特征码检测方法更加困难。那么，如果再和程序加壳技术结合起来，那么将使的单单通过添加特征码方法解毒彻底失效，解毒时，必须同时更新扫描引擎，而现在并没有通用的解壳方法。因此加壳压缩和变形结合起来，将使得反病毒厂商手忙脚乱，也使得反病毒软件用户痛苦不堪，频繁的更新，除了特征码，还有扫描引擎。给平常的病毒加个壳，比如用upx，现在通常反病毒软件，对于常用的加密加壳压缩程序，都有相应的解壳程序。效果并不好，所以如果病毒本是既是一好的变形加密加壳压缩程序，那么，目的是强迫更新扫描引擎，当然也是可以被动态解压检测出来的，只是增加了解毒的很多工作量。实际上加壳技术不仅仅用于软件保护，也可用于好的病毒。好的病毒不一定要非常快的传播速度，难于检测，难于查杀更重要一些，就像现在杀毒界的虚拟机技术，也不过是个雏形，有很多的功能并不能完全虚拟化，同时若加壳代码本身可变形，同时有多种加壳算法可供随机选择，那么就很难找出其中的规律以及关系。总之，好的杀毒软件至少应该具有的技术功能之一就是要具备压缩还原技术：对Pklite、Diet、Exepack、Com2exe、Lzexe、Cpav等几百种压缩加壳软件自动还原，彻底解除隐藏较深的病毒，避免病毒死灰复燃。

哪位大神说说 什么是 文件的 特征码？详细一点！

文件特征码 阅读人数：1259人页数：6页价值：0下载券709448646 如今杀软的升级，他们的性能越来越强大，查杀力度和广度都大幅度提高，启发式杀毒的日益完善，使免杀工作越来越困难。杀软在进步我们小黑也不能落其后啊，我们必须努力掌握最新的免杀技巧和动向，同时也不能一步登天的忘了我们的基础。而传统的特征码差杀，杀软依然在使用。因此要想使我们的木马文件不被查杀，修改文件特征码也是一种常用的方法，今天就以特征码修改技术给大家做一个总结，献给支持和关心暗组的朋友，也献给免杀初学者和即将要学习免杀的朋友，本人能力有限，错误之处请大家指出，我们共同学习进步…                     一． 什么是“特征码”                     我们从字面意思上看，就是具有一定特点或特征的一串字符…而这串字符就是被杀软定义一文件是否是病毒的依据..       然而稍微专业点就是程序运行时，在内存中为完成特定的动作，要有特殊的指令，一个程序在运行时，同一内存地址的指令是相同的同一个程序中，一段连续的地址（它的指令相同），那么我截取这段地址，就可以判断它是不是这个程序。为了防止出现病毒的误查杀，可以提取出多段特征码。这也就是我们所说的复合特征码.                     A. 特征码主要又分为：文件特征码，内存特征码，行为特征码，（主动特征码，如瑞星）       B. 同时，又分为：单一特征码和复合特征码；       单一特征码就是说，一个程序中的几句代码被杀毒软件做为识别标志。修改掉一处就可以免杀。       复合特征码:一个程序中的多句代码被杀毒软件作为识别标志。有一处不修改都不能免杀。                     二. 修改特征码免杀技术                     修改特征码技术，是以杀软查杀特点得来的。杀软会用它们的特征库（也就是我们说的病毒库）和我们的文件某些字符作对比，如果彼此吻和，就定义为我们的文件为木马病毒。同时，我们只要修改了它定义出的文件特征码，这样会出现什么情况呢，不用说那就是我们所说的免杀，也就是用修改特征码技术来达到我们文件的免杀.                     三． 分析文件特征码                     我们要使一个木马文件免杀就要修改它的特征码，但这些特征码我们如何得来。这就       说到了我们特征码分析，也就是我们所说的特征码定位。而定位的工具有很多，常见也是大家都觉得好用的有（CCL MYCCL multiCCL等）.这就不具体说明，我们重点是特征码修改.                     四． 修改特征码常用工具                     OD(Ollydbg.exe) C32(C32Asm.exe) 辅助：RestoratRestorator.exe LordPE.exe       PEID 0.95.exe 汇编指令查询器（可以很好的帮助我们在修改特征码过程中遇到不认识的汇编指令时，我们可以用它来查询，了解相关功能）（如下图）五．         1/6页 修改特征码基础汇编指令                     到了这里眼看就要修改了做免杀了。大家别急，有句话说的好：“巧妇难为无米之炊”。       也就是说，我们现在有了好的工具但是你会用吗？如果回答是否定的，那一切还是等于零。工具的使用我这里就不说了，暗组论坛自己搜，NEW4写的OD使用说明就很不错，大家可以看看。好了，我们言归正传。修改特征码需要具备基本的汇编知识，不懂没关系，只要你肯学肯记，不需要你对汇编了解太深，只要记住常见的指令和它们的作用。大家请注意，这步是学习免杀即修改特征码最关键的一步，这步学习的好坏，决定你以后修改特征码技术的高低…这里我给大家列出我们必须去掌握的一些指令，希望大家下来好好背记…

破壳是什么意思-高手答案

破壳是指操作人员用工具把要用的软件给脱壳的意思。 在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。 由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，就把这样的程序称为“壳”。 扩展资料：“壳”的作用： 保护版权信息，不被别人随便改动，如作者的姓名等，或者把程序压缩的小一点，从而方便使用。最常见的加壳软件ASPACK、UPX、PEcompact。 不常用的加壳软件WWPACK32；PE-PACK ；PETITE ；NEOLITE。 而“破壳”技术的进步促进、推动了当时的加密（加壳）技术的发展，促使编辑软件的人使用软件序列号的加密方法，保护 EXE 文件不被动态跟踪和静态反编译。 参考资料来源：百度百科-脱壳软件

为什么lordpe找不到进程

XP下使用 LoadPE
Win7以上建议用Scallar

权限有了，但是为啥还是看不到项目？ 我的是 WIN7 64位系统

1. 你不是管理员，所以没有权限。如果你知道管理员，则需要在开始的搜索框内输入gpedit.msc后，按住shift，右键点搜索结果，用Runas different User， 然后输入有管理员权限用户名和密码。

2. 如果你已经使用管理员登录，Win 7的权限控制阻止了你打开，在右键点搜索结果时，Runas administrator。
谢谢。
本回答

win7系统 控制面板-卸载程序显示不全 就显示2个软件 哪位大神知道为啥啊？

见到过，忘了，呵呵，那天一台机子直接卸载程序无法显示，用个一个CMd命令，可以显示一部分，建议你搜一下，明天我找一下那个命令给你发过去

strokeit在win7安装后，完全不生效，为啥，求助。

firegestures只能在火狐用,strokeit是全局的手势,堪称神作~!!
重新安装吧,遨游建议不用了,火狐就很强大了！

谁会在win7下建立服务器啊 为啥我明明创建成功了 却打不开啊

Win7系统服务器有很多种，要实现其它电脑的访问方法也有多种，用户可以参考如下几种方法：

1、让别人访问自己的电脑，最常规的目的是共享文件。可以使用Win7共享电脑上的文件夹，供别人访问，具体操作如下：
a、找到你需要共享的文件夹，点击右键，在弹出的右键菜单中选择“属性”。
b、在文件夹属性中，找到共享，点击下面的共享下面的第一个按钮。
c、然后自动单出来一个页面，里面有很多的用户，有只读，有写入，直接忽略，一般默认只读比较安全。
发现文件夹已经共享了，看下面的名字状态。然后点击完成即可。
d、回到Win7桌面，点击网络，发现自己的电脑有一个共享的文件夹，说明成功了。
其他人要访问，按WIN+R键打开运行对话框，输入\\ip\share ，按回车键那可访问。ip指的要访问电脑的IP地址，share指的是共享文件夹，根据实际情况操作。
2、使用Win7自带的功能
win7本身自带了很多服务，可以让其他人访问，比如telnet服务、ftp服务，以telnet服务为例：
a、点击“开始”→“控制面板”→“程序”，“在程序和功能”找到并点击“打开或关闭Windows功能”进入Windows 功能设置对话框。找到并勾选“Telnet客户端”和“Telnet服务器”。

b、Telnet服务安装完成后，默认情况下是禁用的，还需要通过Services.msc启动服务。按WIN+R快截键打开“运行”对话框，输入services.msc打开服务，找到telnet服务启动即可。

对方可以运行cmd，通过telnet ip ，按回车登录系统，其中ip是个人电脑的ip地址。ftp服务的开启方法类似。
3、使用远程桌面
开启Win7的远程桌面共享功能，具体操作：在“计算机”上右键“属性”，在弹出的窗口中选择”远程设置“ ，勾选如下图所示中的两个选项的任意一个都可以实现远程访问：

开启后，其他人要访问只需要按WIN+R打开运行对话框，输入mstsc，打开远程桌面客户端，输入ip地址登录即可。
4、第三方软件的访问
可以使用如QQ远程协助、teamviewer之类的第三方软件来实现。具体不在赘述。

用ollydbg载入程序加花后 再用lordpe改了文件头,再次载入Od显示无法读取被调试进程的内存

建议你下载OD 汉化第三版

新手求协，关于lordPE的dump和Ollydbg的dump的区别

看有没有脱壳插件~ 用lordPE脱壳吧再用importREC修复这样保险一点 这个在最上方应该会有一个插件的菜单选项，然后选ollydump来把程序dump出来。

请问各位大神，想学习软件逆向工程应该有哪些基础知识啊？我现在只学了汇编和C，看了一部分ida的教程（没

必须去的论坛：看雪->http://bbs.pediy.com
必须要看的书：看雪站长段刚所著《加密与解密》第三版；《琢石成器—Windows环境下32位汇编语言程序设计》.罗云彬.第三版；《windows高级编程》；《C++反汇编与逆向分析技术解密》；《windows编程循序渐进》《程序员密码学》
建议看的书：《0Day安全：软件漏洞分析技术》《C语言深度剖析》《windows核心编程》
必须要精通的语言：C语言，汇编语言

必须要会的语言：C++（到了一定境界你会觉得跟C 没区别），English
必须要熟悉的专业工具：IDA Pro，OllyDBG
必须要知道的一些小工具：PEID，LordPE，一个上手的16进制编辑器
必须具备的素质：对计算机知识充满好奇，不断学习的能力

播布客小甲鱼出的软件破解之od(ollydbg)逆向调试+Win32汇编教程资料如题 谢谢了

小甲鱼Win32汇编视频教程目录 WIN32编程必须了解的基础知识01 WIN32编程必须了解的基础知识02 WIN32编程必须了解的基础知识03 WIN32编程必须了解的基础知识04 WIN32编程必须了解的基础知识06 WIN32汇编学习班（第一讲） 第一个程序（Win32可执行文件的开发全过程） 。。。。。。。。。。。。。。。。 教程地址： http://www.henanfilm.cn/view-10947-1.html

我在win7下用lordpe为什么读不到所有进程

不是所有的后台程序都可以由用户处理的，因为要考虑到操作系统的安全性和稳定性。一些系统进程你可以看到，但绝不能对其操作。
如果是自己的应用程序，就要考虑是否有其他保护机制在控制，诸如一些病毒就是用A进程保护B进程，你关闭B进程后，A会自动再启动B进程。但是A进程又被写入系统进程，就导致一般用户不能对付这个病毒。只能使用第三方软件来处理（比如杀毒软件）

软件破解，逆向，网络安全，。破解初学者，看教程学习中，lordpe找不到那个ollydbg里的进程

问下楼主找到解决方法了么？我也找不到进程，据说是因为进程太多了，lordpe里面只显示六十个，需要个什么补丁，一直没找到，据说用虚拟机好使……话说为啥要od的进程啊，不应该是需要破解的程序的进程吗？

用lordpe给一个程序添加dll时提示找不到API怎么办

你好。 明显是API不对嘛，有你写的那个API么 如果是自己写的dll 。把里面想要别的程序调用的函数公开，具体你百度搜搜吧。。。 编译dll时注意下那个子程序有没设置公开。。 猜测下：这个是易写的内存皮肤dll吧 如果我的回答没能帮助您，请继续追问。

LordPE脱壳问题

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
程序运行到OEP 10CC后，打开LordPE，在当前进程脱壳
但脱出的文件大小发生了变化。
可是用PEiD查下入口，仍旧是原来ASPACK的壳的入口
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
你伤脑筋啊

OD 加载程序后
当运行至OEP 时
此时就要用LordPE DUMP 一个RAW DUMP.EXE
但接着的动作你却没做

接着要用ImportREC 接续那OD 解码至OEP 时的修正
修正后文件存盘至LordPE 转储的 DUMP.EXE
存盘后(算是以DUMP.EXE APPEND) 得到 DUMP_.EXE
这样理解了嘛

求助，关于ASPack脱壳的问题

简单说下壳为MoleBoxV2.3X这个程序。内存镜像可以直接到oep不过你会发现iat全是无效的。所以这里直接跑脚本。varvfindeip,#60#cmp$RESULT,eipjepushadbp$RESULTrunbc$RESULTpushad:stomovv,espbphwsv,"r"runbphwcvfindeip,#FF?0#cmp$RESULT,eipjeendbp$RESULTrunbc$RESULTend:sticmteip,"OEPfound"msg"Dump&fixtheIAT"ret跑完脚本停在程序OEP处。然后不关闭OD用ImpREC填入OEP的值，此时选择无效指针先剪切dump程序然后转储覆盖下dump出来的文件。此时别高兴的太早。运行你会发现缺少东西。这个捆绑壳。你dump没把程序完全dump出来。所以会提示你缺少什么。此时你需要单独提取下程序之前的内容。然后单独dump出来。我勒个去。输入法秀逗。编辑好几次才发完查看答案>>

LordPE脱壳问题

LordPE设置问题 修正镜像大小。 粘贴PE头

如何使用脱壳脚本?

选对脚本，就自动脱壳了，等到脚本到达OEP后，就用lordPe脱壳，在用ImportRec修复一下。有时候要修复IAT和其他东西的！

脱壳收费辅助后如何使用

peid只用来查壳,脱壳还是建议你用OD,或者lordPE,毕竟peid不是专业用来脱壳的

系统DLL文件被一些木马加以利用,进行DLL劫持,威胁您的电脑安全是怎么回事?

您好：
建议您安装瑞星杀毒软件V16版本升级到最新病毒库后，重启计算机按F8键选择安全模式，进行全盘病毒扫描查杀，之后使用瑞星安全助手进行电脑修复，下载地址：http://pc.rising.com.cn/

易语言注入DLL怎么弄

首先这不是注入DLL，这是导入DLL函数进PE文件，这个过程需要一个工具LordPE，网上都有可以自己去下载。 我们知道一旦DLL函数被导入EXE文件的输入表，则EXE文件启动时会自动执行一遍该DLL的_启动子程序 函数，所以我们可以把需要执行的指令放在该函数里面，然后记得在该函数的 公开 选项打上勾，然后编译。 接下来，我们打开LordPE，如下图 然后在弹出的对话框中选择要导入DLL函数的程序然后点击新弹出的窗口的目录，如下图 然后点 输入表 右边的 标题是 ...的按钮（截不了图了） 然后随便选择一项数据，右键，如下图 在弹出的窗口中填写DLL名，及API名（填_启动子程序）就可以了，然后点一下 + 按钮 如果弹出一个信息框，点 是 就可以，添加完成之后点 确定 ，然后一路保存就可以了，不过发布程序的时候记得带上那个DLL，不懂追问

自己写的易语言DLL，在哪里看函数公开

一. 建立公开函数: 二. 查看公开函数 可以使用pe查看修改类工具,以下用二种工具来演示: 1. Dependdency Walker(vs自带的工具) 2. LordPE

DLL文件劫持应该怎么办

DLL当一个可执行文件运行时，Windows加载器将可执行模块映射到进程的地址空间中，加载器分析可执行模块的输入表，并设法找出任何需要的DLL，并将它们映射到进程的地址空间中。

由于输入表中只包含DLL名而没有它的路径名，因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL，如果没找到，则在Windows系统目录查找，最后是在环境变量中列出的各个目录下查找。利用这个特点，先伪造一个系统同名的DLL，提供同样的输出表，每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL，完成相关功能后，再跳到系统DLL同名函数里执行，如图18.4。这个过程用个形象的词来描述就是系统DLL被劫持（hijack）了。

184.gif

利用这种方法取得控制权后，可以对主程序进行补丁。此种方法只对除kernel32.dll, ntdll.dll等核心系统库以外的DLL有效，如网络应用程序的ws2_32.dll，游戏程序中的d3d8.dll，还有大部分应用程序都调用的lpk.dll，这些DLL都可被劫持。
利用5.6.2章提供的CrackMeNet.exe来演示一下如何利用劫持技术制作补丁，目标文件用Themida v1.9.2.0加壳保护。

1．补丁地址
去除这个CrackMe网络验证方法参考第5章，将相关补丁代码存放到函数PatchProcess( )里。例如将401496h改成：
代码:00401496 EB 29 jmp short 004014C1
补丁编程实现就是：
代码:
unsigned char p401496[2] = {0xEB, 0x29};
WriteProcessMemory(hProcess,(LPVOID)0x401496, p401496, 2, NULL);
p401496这个数组的数据格式，可以用OllyDBG插件获得，或十六进制工具转换。例如Hex Workshop打开文件，执行菜单Edit/Copy As/Source即可得到相应的代码格式。

2．构建输出函数
查看实例CrackMeNet.exe输入表，会发现名称为ws2_32.dll的DLL，因此构造一个同名的DLL来完成补丁任务。伪造的ws2_32.dll有着真实ws2_32.dll一样的输出函数，完整源码见光盘。实现时，可以利用DLL模块中的函数转发器来实现这个目标，其会将对一个函数的调用转至另一个DLL中的另一个函数。可以这样使用一个pragma指令：
代码:#pragma comment(linker, "/EXPORT:SomeFunc=DllWork.someOtherFunc")
这个pragma告诉链接程序，被编译的DLL应该输出一个名叫SomeFunc的函数。但是SomeFunc函数的实现实际上位于另一个名叫SomeOtherFunc的函数中，该函数包含在称为DllWork. dll的模块中。
如要达到劫持DLL的目的，生成的DLl输出函数必须与目标DLL输出函数名一样，本例可以这样构造pragma指令：
代码:#pragma comment(linker, "/EXPORT:WSAStartup=_MemCode_WSAStartup,@115")
编译后的DLL，会有与ws2_32.dll同名的一个输出函数WSAStartup，实际操作时，必须为想要转发的每个函数创建一个单独的pragma代码行，读者可以写一个工具或用其他办法，将ws2_32.dll输出函数转换成相应的pragma指令。

当应用程序调用伪装ws2_32.dll的输出函数时，必须将其转到系统ws2_32.dl中去，这部分的代码自己实现。例如WSAStartup输出函数如下构造：
代码:
ALCDECL MemCode_WSAStartup(void)
{
GetAddress("WSAStartup");
__asm JMP EAX;//转到系统ws2_32.dll的WSAStartup输出函数
}
其中GetAddress()函数的代码如下：
代码:
// MemCode 命名空间
namespace MemCode
{
HMODULE m_hModule = NULL; //原始模块句柄
DWORD m_dwReturn[500] = {0}; //原始函数返回地址
// 加载原始模块
inline BOOL WINAPI Load()
{
TCHAR tzPath[MAX_PATH]={0};
TCHAR tzTemp[MAX_PATH]={0};
GetSystemDirectory(tzPath, sizeof(tzPath));
strcat(tzPath,"\\ws2_32.dll");
m_hModule = LoadLibrary(tzPath);//加载系统系统目录下ws2_32.dll
if (m_hModule == NULL)
{
wsprintf(tzTemp, TEXT("无法加载 %s，程序无法正常运行。"), tzPath);
MessageBox(NULL, tzTemp, TEXT("MemCode"), MB_ICONSTOP);
}
return (m_hModule != NULL);
}

// 释放原始模块
inline VOID WINAPI Free()
{
if (m_hModule)
FreeLibrary(m_hModule);
}
// 获取原始函数地址
FARPROC WINAPI GetAddress(PCSTR pszProcName)
{
FARPROC fpAddress;
TCHAR szProcName[16]={0};
TCHAR tzTemp[MAX_PATH]={0};

if (m_hModule == NULL)
{
if (Load() == FALSE)
ExitProcess(-1);
}

fpAddress = GetProcAddress(m_hModule, pszProcName);
if (fpAddress == NULL)
{
if (HIWORD(pszProcName) == 0)
{
wsprintf(szProcName, "%d", pszProcName);
pszProcName = szProcName;
}
wsprintf(tzTemp, TEXT("无法找到函数 %hs，程序无法正常运行。"), pszProcName);
MessageBox(NULL, tzTemp, TEXT("MemCode"), MB_ICONSTOP);
ExitProcess(-2);
}
return fpAddress;
}
}
using namespace MemCode;
编译后，用LordPE查看伪造的ws2_32.dll输出函数，和真实ws2_32.dll完全一样，如图18.5所示。

185.gif

查看伪造的ws2_32.dll中任意一个输出函数，例如WSACleanup：
代码:
.text:10001CC0 ; int __stdcall WSACleanup()
.text:10001CC0 WSACleanup proc near
.text:10001CC0 push offset aWsacleanup ;"WSACleanup"
.text:10001CC5 call sub_10001000 ;GetAddress(WSACleanup)
.text:10001CCA jmp eax
.text:10001CCA WSACleanup endp
会发现输出函数WSACleanup()首先调用GetAddress(WSACleanup)，获得真实ws2_32.dll中WSACleanup的地址，然后跳过去执行，也就是说ws2_32.dll各输出函数被HOOK了。

3．劫持输出函数
ws2_32.dll有许多输出函数，经分析，程序发包或接包时，WSAStartup输出函数调用的比较早，因此在这个输出函数放上补丁的代码。代码如下：
代码:
ALCDECL MemCode_WSAStartup(void)
{
hijack();
GetAddress("WSAStartup");
__asm JMP EAX;
}
hijack()函数主要是判断是不是目标程序，如是就调用PatchProcess()进行补丁。
void hijack()
{
if (isTarget(GetCurrentProcess())) //判断主程序是不是目标程序，是则补丁之
{
PatchProcess(GetCurrentProcess());
}
}
伪造的ws2_32.dll制作好后，放到程序当前目录下，这样当原程序调用WSASTartup函数时就调用了伪造的ws2_32.dll的WSASTartup函数，此时hijack()函数负责核对目标程序校验，并将相关数据补丁好，处理完毕后，转到系统目录下的ws2_32.dll执行。
这种补丁技术，对加壳保护的软件很有效，选择挂接的函数最好是在壳中没有被调用，当挂接函数被执行时，相关的代码己被解压，可以直接补丁了。有些情况下，必须用计数器统计挂接的函数的调用次数来接近OEP。此方法巧妙地绕过了壳的复杂检测，很适合加壳程序的补丁制作。
一些木马或病毒也会利用DLL劫持技术搞破坏，因此当在应用程序目录下发现系统一些DLL文件存在时，应引起注意。

如何使用ollydbg的插件dump内存

看有没有脱壳插件~ 用lordPE脱壳吧再用importREC修复这样保险一点 这个在最上方应该会有一个插件的菜单选项，然后选ollydump来把程序dump出来。 .

如何使用ollydbg的插件dump内存

看有没有脱壳插件~
用lordPE脱壳吧再用importREC修复这样保险一点
这个在最上方应该会有一个插件的菜单选项，然后选ollydump来把程序dump出来。
.

电脑脱壳高手请进 ollydbg插件ollydump下载了怎么使用，ollydbg菜单上没插件一栏啊

看有没有脱壳插件~ 用lordPE脱壳吧再用importREC修复这样保险一点 这个在最上方应该会有一个插件的菜单选项，然后选ollydump来把程序dump出来。 .

ollydbg载入文件无法启动是怎么回事

有些程序加了反调试，会制造SHE异常，请在异常选项中忽略所有异常，SHIFT+F9运行试试，如果还不行，用strongOD插件隐藏OD再调试，再不行换OD试试。有时候强壳会严格检测程序的运行环境，如果发现调试器的存在或者发现不是在正常系统中运行，就会拒绝释放程序代码并调用异常反调试功能进行拦截保护。制造卡机死机现象，只是其中一个小手断。到论坛去升级OD隐藏插件，然后再重新调试。

用软件做免杀改特征码的方法

一、主动免杀1. 修改字符特征：主动查找可能的特征码，包括木马文件修改注册表、生成新文件的名称与路径、注入的进程名等动作，也包括运行过程中可能出现或一定会出现的字符等文件特征。然后找出这些字符，并将其修改。2. 修改输入表：查找此文件的输入表函数名（API Name），并将其移位。3. 打乱文件结构：利用跳转（JMP），打乱文件原有结构。4. 修改入口点：将文件的入口点加1。5. 修改PE段：将PE段移动到空白位置二、被动免杀1. 修改特征码：用一些工具找出特征码并针对特征码做免杀处理。2. 用Vmprotect：使用Vmprotect加密区段。3. 文件加壳：可以用一些比较生僻的壳对木马文件进行保护。有的朋友看到这里有可能蒙了，PE、Vmprotect、入口点……这些都是什么意思啊？不要着急，下面我会一一介绍的，只要你看完这篇文章，就一定会成为免杀高手！怎么样？Go！3.实战演习1.）修改字符特征好，下面我们依然以一个病毒防御工作者的角度来考虑我们每一步应该做什么，然后在利用逆向思维分而治之。现在假如我们拿到一个木马样本灰鸽子，首先当然要分析它究竟有什么功能，怎样运行以及怎样保护自己等。其实这一步要求的专业知识是很多的，但考虑到我们的读者，我们暂且用一个比较简单易行的方法——运行木马AND查看此程序的帮助文档。我们打开RegSnap，新建一个快照，打开RegSnap后，点击[新建快照]按钮（如图1）。
在弹出的对话框中选择[生成所有项目的快照]（如图2）。然后保存快照，现在已经将RegSnap配置好了，下面运行我们的木马程序（提醒：做免杀时，一定要记住养好随时备分的好习惯，以防止修改错误或是实验运行时破坏、删除木马）。木马运行完毕后，我们在按照上面的方法重新做一个快照并保存，然后按快捷键F5，在弹出的“比较快照”对话框中选择刚才保存的快照，在“第一个快照”中选择我们刚才第一次保存的快照，而“第二个快照”选择我们后保存的快照存档，很快结果就出来了（如图3）。
有的朋友对于使用RegSnap收集到的信息感到无力分析，抱怨收集到的东西太多，在这里我简单的介绍一下，首先应注意的是生成做对比的两个快照之间的时间要尽可能短，另外要排除带有OpenSaveMRU的注册表键值，还要排除有关*.rsnp文件的创建读写等操作记录。下面我们就将有用的信息提取出来，逐一分析。文件列表于 C:\WINDOWS\*.*新增文件木马.exe注册表报告新增主键HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\A1Pass-admin\桌面\huigezi\复件 Server02.exe键值: 字符串: "复件 Server02"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Class键值: 字符串: "LegacyDriver"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\ClassGUID键值: 字符串: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Control\ActiveService键值: 字符串: "木马服务"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\木马服务\Description键值: 字符串: "灰鸽子服务端程序。远程监控管理."……这里我只摘录了部分关键性的木马动作记录，全部记录请见光盘。通过文件列表我们可以知道木马在WINDOW目录下生成了一个新文件，而通过注册表的监控信息我们也知道了木马是怎样将自己注册为系统服务并自动运行的。那么我们回到瑞星的研究分析室，看看那些大哥大姐们会怎么办……瑞星大哥：“最近这灰鸽子太猖狂啦！我们是不是应该多定义几套特征码？”瑞星大姐：“恩，不错！先在注册表那定义一套特征码在说吧。”A1Pass：“STOP！！”（只见画面突然定格，A1Pass将播放器最小化。）通过上面的对话，我们可以知道他们要将注册表的某个字符定义为特征码，从上面RegSnap分析出来的记录来看，他们的选择真的是太多了！那么他们究竟会用到哪些呢？其实，就做为一个黑客来讲，只要不影响服务端正常运行，就应该尽量多的改掉木马的所有字符，当然全部改变是不可能的，除非你自己编写木马。有的朋友要问了，除了注册表别的就不可以改了吗？答案当然是否定的，譬如生成新文件的名称与路径、注入的进程名等动作，这些我们可以利用WINDOWS对字母大小写不敏感的这一特点直接替换字母的大小写，而对于运行过程中可能出现或一定会出现的字符等我们可以直接将其替换成别的内容。下面我为大家演示一下怎样更改注入进程的名称。首先配置服务端，通过图4我们可以看出来灰鸽子的启动运行是需要“IEXPLORE.EXE”这个进程的，根据注册表的推理，我们可以认为其未加壳的服务端是应该存在“IEXPLORE.EXE”这一字符串的。既然如此，我们就先请出我们的第一把武器“WinHex”！
WinHex是一款极为出名16进制编辑器。得到 ZDNetSoftwareLibrary 五星级最高评价，拥有强大的系统效用。在这里，我们只用它来编辑文件，其余不做过多讨论。首先我们用WinHex打开我们的木马文件“Server.exe”，打开后如图5所示。
然后我们按[Ctrl]+[F]快捷键调出查找文本对话框，输入IEXPLORE.EXE后点击“是”（如图6）。
结果如图7所示。下面我们就对其进行大小写转换，用鼠标点击要更改的字母（例如I），然后在按键盘上的i，即可完成更改，就象使用WINDOWS的记事本一样。更改完毕后，按[Ctrl]+[S]快捷键保存即可。
就这么简单？对！就这么简单！其他的例如注册表、生成新文件的名称与路径等等都可以利用此方法更改。但是不幸的是，经过这样改后，还不足以对付例如金山、江民等品牌杀毒软件，要想对付这些杀毒软件的查杀，我们还需要对我们的木马进行进一步处理。下面，我们开始学习输入表函数（APIName）免杀！2.）修改输入表不知有的朋友是否知道，PE文件的正常运行是离不开其内部输入表函数的，而不同的程序，其内部输入表函数的名称与在文件中的位置是不一样的，所以输入表函数也成了病毒防御工作者制作特征码紧盯的地方之一。在我查出来的关于灰鸽子的特征码来看，“瑞星大哥”已经将其的一处输入表函数作为特征码了。所以掌握输入表函数免杀技巧对于新入门的朋友来说势在必行！
[PE文件小知识：PE文件是WINDOWS系统中特有的一种文件结构，它包括PE文件头、输入表与相关资源文件等等]经过我的测试，直接单独修改文件内部的输入表函数会导致程序运行不正常甚至崩溃！那就没有办法了吗？我可没那么容易认输！经过一翻苦战，终于让我在LordPE中找到了解决办法，同时FoBnN的文章也给了我非常大的启发……我们先打开LordPE，点击[PE编辑器]按钮，在弹出的对话框中选中木马文件，打开后点击[目录]（如图8）。在点击导入表后面的[…]（如图9）。在弹出的对话框中我们选择wininet.dll下的InternetOpenUrlA（如图10），有的朋友要问了，为什么非选择InternetOpenUrlA这个输入表函数呢？呵呵！那是因为这个输入表里有特征码哦，关于怎样确定特征码，我在后面会介绍，大家先别着急。
好的，关于LordPE就先停在这，下面我们就用WinHex来查找InternetOpenUrlA这个输入表函数的所在位置，并将其用0填充（操作方法：单击WinHex右面的16进制信息，输入0即可）（如图11、12）。
然后将其写到空白区域（既显示000000的区域），一定要从头开始写入，这样在以后计算地址时不容易出错，除此之外也要注意输入表函数的大小写不要搞错（如图13）。保存后我们在回到LordPE那里，在需要更改的InternetOpenUrlA输入表函数上单击右键，在弹出的菜单里选择“编辑”，将Thunk里的信息改成000B9D5E（如图14）即可。有的朋友要问了，刚才我们不是把那个输入表函数放到000B9D60那里了吗？到这怎么变成000B9D5E了？其实原理很简单，因为每个输入表函数前面都是有一个空格的，我们虽不用真正把那个空格加进去，但填写它的地址时一定要空出来，否则就会出错！而将000B9D60减去一个空格所占的位置，其地址正好为000B9D5E，还不十分明白的朋友在仔细看看图13，下面我们在回到LordPE，看看我们改过的输入表函数变成什么样了（如图15）？呵呵！那我们该怎么办呢？其实简单的很，只要在重新改一下输入表函数的名称就可以了（如图16）。有的时候因为我们所填写的地址为比较靠后的，例如我们现在改的这个000B9D5E，后面仅能容纳两个字节，所以更改输入表函数时只能键入两个字，对于这种情况我们可以先把Thunk里的信息改成如000B9D60这样的起始地址，改输入表函数名更改完毕后在将000B9D60改回原来的值（既000B9D5E），保存后即可成功，我们试一下看看（如图17）。经测验鸽子的各项功能均正常！在用瑞星查一下试试（如图18），结果当然不言而喻……
3.）修改特征码虽然到这我们免杀已经成功，但是为了学到更多的技术，为了让我们免杀的鸽子存活的更久，下面我在为大家介绍一下特征码的查找与修改技巧。特征码是杀毒软件的心脏，但同样也是我们的心脏！就看谁先找到对方地心脏，并能发出致命一击，谁就是胜利者！一提到查找特征码，就不得不说说MyCCL与CCL，这两个软件的名字相信留心过免杀技术的朋友不会陌生，但由于软件操作的傻瓜化，很多时候对于CCL的介绍只是一带而过，这可苦了入门的朋友！这一小节我就先介绍一下MyCCL的用法……我们先来认识一下MyCCL（如图19），根据这张图我们下面就来大体介绍一下MyCCL的应用方法。首先点击第1处选择文件，然后在第2处输入分块个数，分块个数越多，定位越精确，然而生成的速度同时也就越慢，生成的文件总体积也就越大，就象灰鸽子这么大的服务端，如果分块数为300的话，那么它生成文件的总体积将超过230M！所以在这里不建议填写太大的数字，一般象灰鸽子这样的服务端分块数填400个就足够了。生成完毕后会弹出个对话框提醒你去相应目录杀毒，图中所示为“E:\文章\极度免杀\鸽子\OUTPUT”文件夹，我们到那个文件夹下开始杀毒，查到病毒就让杀毒软件将其彻底删除，注意，这一点很重要！处理完毕后点击第3处的二次处理，在点击[生成]上面的[特征区间]按钮即可出现右面的对话框。下面我们在“区间设定”里右键单击特征码区间，在弹出的菜单中选择“复合精确定位此处特征”（如图20），然后重复上面的操作，直到你认为[单位长度]已经小到很方便更改的时候，特征码的定位就算结束了。好了，一口气说了这么多，不知道刚入门的朋友是否懂得一些MyCCL的用法了没有……但是上面我们定位的是文件特征码，还有内存特征码没有定义，这里我们要用到CCL的内存特征码定位功能，打开CCL后，我们依次选择[文件]→[特征码验测]→[内存特征码]（如图21）。
在弹出的对话框中选择我们要进行免杀操作的木马，然后会进入“定位范围选择窗口”（如图22）。由图中可知，第一个CODE段的偏移量为00000400，也就是说我们可以用00000400做为起始位置，那么我么就在用户输入区的“起始位置”处填写00000400，下面的那个验测大小怎么填写呢？看到图22中画线的那个“当前文件大小”了吗？我们可以用WINDOWS系统自带的计算器进行计算，把计算器的“查看”菜单设置为科学型、十六进制、四字（如图23）。然后用当前文件大小的值减去起始值00000400，得到的结果为000B9A00，那么我们就在“验测大小”后填上000B9A00，然后点击“填加区段”按钮（如图24）。最后点击确定，在新弹出的对话框中点击运行，不过需要注意的是，在进行此步操作时一定要打开杀毒软件的所有功能。下面你要做的就是等待……然而光找特征码是不够的，我们还得学会怎样更改，而关于特征码地更改是非常有学问的！这里为了方便广大读者能学以致用，在此我只介绍部分理论知识，着重介绍实践操作，但是我想请大家注意，免杀的方法象你做完免杀的木马一样，都有生存时间，而过了这个时间，这种免杀方法就变的不在实用，或者免杀效果大打折扣！所以要想真正成为免杀高手，还的打牢基本功，不断创造出新的免杀方法，因为我们是在与杀毒软件厂商的专业技术人员“斗法”啊！关于需要注意的问题就先讲的这，下面我带大家先来了解一下目前更改特征码的办法。1. 大小写替换（只适用于文件免杀）适 用 于：出现可识别的英文字母或词组，并且确定其不是相关函数（如输入表函数）。操作方法：如咱们“实战演习”的第一节讲的一样，只须将大小写替换一下就可以了，例如特征码中出现了A，你只要将其替换为a即可。原 理：利用WINDOWS系统对大小写不敏感，而杀毒软件却对大小写非常敏感这一特性达到免杀目的。2. 用00填充适 用 于：几乎任何情况，但成功率不是非常高。操作方法：例如我们找到了一处特征码0009EE7F_00000005，那么根据这段特征码信息我们可以知道它的位置在0009EE7F，大小为5个字节，也就是0009EE7F-0009EE83这一段内容（如图25）。
一直跟着文章实践操作的朋友肯定有疑问，你是怎么找到那个地址的呢？而我怎么找不到呢？那是因为WinHex的默认偏移量为decimal模式，我们单击Offset栏将其改为16进制模式即可（如图26）。
然后我们有选择的一处处地用00填充（如图27）。记住要多试几次，80%的情况下你都能找到一处既能免杀又不影响程序正常运行的区域。对于定义出的内存特征码，只要将其内存地址用一个叫做《便宜量转换器》的小程序转换成16进制偏移量，然后在进行相应操作即可。原 理：由于PE文件的特殊格式以及程序编译语言等问题，使得生成目标代码的效率并不高，难免出现一些“垃圾信息”，而这些信息存在与否对与程序是否能正常运行并不起决定性的作用，而当木马的这部分“垃圾信息”被定义为特征码时，我们完全可以将其删除，而删除的方法就是用无任何意义的00将其替换。3. 跳到空白区域适 用 于：几乎任何情况，成功率比较高。操作方法：还是以特征码0009EE7F_00000005为例子，假如我们使用00填充的方法失败了那么不要多想，接下来马上试试OllyDbg，关于OllyDbg我就不多介绍了，它是非常棒而且非常专业的一个动态反汇编/调试工具，这里我们只用它来帮助我们进行免杀作业，首先应该做的就是将我们的16进制偏移量0009EE7F转换为内存地址，因为OllyDbg的工作原理是先将程序释放到内存空间里，然后才能进行相关作业…这里要用到的是一个叫做《便宜量转换器》的小程序，我们用其转换完毕后得到的内存地址为0049FA7F（如图28）。
下面我们用OllyDbg打开我们的木马服务端，首先找到一处空白区，并域记下这的地址004A24A5，然后找到我们刚转换过来的地址0049FA7F，先将以0049FA7F开始以下的这三行数据选定，然后单击右键选则[复制]→[到接剪贴板]（如图29）。将其复制到本文文档里备用，然后在将这三行代码一一NOP掉（如图30）。最后右键点击0049FA7F，在弹出的对话框中选择汇编，并写入“jmp 004A24A5”这条汇编指令（如图31）。记住，在点击[汇编]按钮之前一定先把“使用 NOP 填充”前面的勾去掉。然后我们记下汇编后0049FA7F的下面那个地址0049FA84（仔细观察图31）。好，下面我们回到004A24A5这处刚才找到的空白地址（如图32）。
然后用刚才汇编的方法把在本文文档里备用的信息一句句地汇编进去，然后在将最后一句代码的下一行004A24AA处加入“jmp 0049FA84”这行代码（如图33）。然后单击右键→[复制到可执行文件]→[所有修改]（如图34）。
在弹出的对话框中选择“全部复制”然后保存即可。而对于内存免杀就省去了内存地址转换这一步了。原 理：大家先看图35，由图中可知，正象此方法的名字“跳到空白区域”一样，这种方法的原理就是将原本含有特征码的信息转移到空白区域，并把原先位置的信息全部NOP掉，并在那里加一个跳转指令，让其跳到004A24A5处，也就是我们找到的空白区域，并把原来在0049FA84的信息移到这里，加完信息后在加一条指令让其在跳回去，以使程序连贯起来。
4. 上下互换适 用 于：几乎任何情况，成功率比较高。操作方法：先用OllyDbg载入木马程序，假定其特征码为0009EE7F_00000005，我们还是先用《偏移量转换器》将其转换为内存地址，上面我们已经知道0009EE7F对应的内存地址为0049FA7F，然后在OllyDbg中找到相应位置，利用上面“跳到空白区域”里介绍的修改方法将0049FA7F上下两句代码调换位置即可。而对于内存免杀就省去了内存地址转换这一步了。原 理：杀毒软件的特征码定位是严格按照相关偏移量于内存地址进行的，而其实我们的应用程序中的机器码执行顺序的先后在一般情况下是没有死规定的，所以我们只需将其上下互换，杀毒软件自然就不认识了。5.ADD与SUB 互换适 用 于：在内存特征码中出现ADD或 SUB指令的，成功率比较高。操作方法：用OllyDbg载入木马程序，假定其特征码所对应的地址中有ADD或SUB指令，例如00018A88：XXXXX 00000088 ADD ECX 10000000我们可以将ADD ECX 10000000这段机器码改为SUB ECX F0000000，更改完毕后保存为EXE文件即可。原 理：我们都知道1+1=2，我们也知道1-（-1）=2，上面就是利用了这个原理，其中ADD指令的就是加意思，而SUB则是减的意思。虽然被我们互换了一下，但是最终结果还是一样的，可是换完之后杀毒软件就不认识了。到这里，关于特征码的查找与修改就讲完了，但是除此之外呢？答案是还有许多！！下面我们就一起看看其他免杀方法。4.）其他免杀方法改文件头：这里所说的改文件头包括加头去头，文件加花。关于加头去头，我们还是用OllyDbg。用OllyDbg载入后，OllyDbg会自动停在入口点（如图36）。
我们将头三行机器码复制保存起来，然后找到空白区域，用汇编的方法一一将其写入（如图37）。然后在后面写入一条JMP指令，让其跳到初始入口点的第四行，相信一直仔细看本文的朋友一定明白其原理，如果忘了的话可以看上面修改特征码的第三种方法，原理与这差不多，修改完毕后如下所示：004A2A73 0000 add byte ptr ds:[eax],al004A2A75 0000 add byte ptr ds:[eax],al004A2A77 55 push ebp004A2A78 8BEC mov ebp,esp004A2A7A B9 04000000 mov ecx,4004A2A7F ^ E9 CCF3FFFF jmp Server.004A1E50004A2A84 0000 add byte ptr ds:[eax],al004A2A86 0000 add byte ptr ds:[eax],al004A2A88 0000 add byte ptr ds:[eax],al
上面的add byte ptr ds:[eax],al就是所谓的空白区域，我们看到改完后的头文件位于004A2A77，所以我们还要用PEditor改一下入口点，打开PEditor后载入文件，将入口点处的地址改为我们的新文件头地址004A2A77（如图38），保存后即可。

易语言 dll注入 注入 劫持 镜像劫持 dll劫持 非输入法注入 e语言 lordpe

我想说的是：
你公开了1个函数，但是没有人去调用它的话，依旧是这个摆设。所以我建议楼主去找一个调用他的函数

程序输入表的问题.

我给你发消息了 你加我的QQ 这个问题我遇到过，我语音跟你说

yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *这壳怎么脱啊，EP区段有UPX

用查壳工具查出是如下图： yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] * 用了好几个PEID都是这个壳 这是这个壳的入口点：如下 0060065F > 68 19AA54EA PUSH EA54AA19 00600664 E8 1B9B0000 CALL 1.0060A184 00600669 E1 3C LOOPDE SHORT 1.006006A7 0060066B 7D 1B JGE SHORT 1.00600688 0060066D 4E DEC ESI 0060066E 15 62F93AE9 ADC EAX,E93AF962 00600673 CC INT3 00600674 A2 BBA8F0C5 MOV BYTE PTR DS:[C5F0A8BB],AL 00600679 FC CLD 0060067A 48 DEC EAX 0060067B ^ 7C D2 JL SHORT 1.0060064F 0060067D F1 INT1 0060067E E6 C0 OUT 0C0,AL ; I/O 命令 00600680 B4 83 MOV AH,83 00600682 4A DEC EDX 00600683 D5 37 AAD 37 00600685 7A 10 JPE SHORT 1.00600697 00600687 49 DEC ECX 00600688 6D INS DWORD PTR ES:[EDI],DX ; I/O 命令 00600689 815C5A 6A 6F507>SBB DWORD PTR DS:[EDX+EBX*2+6A],967A506F 如果用这个PEID查OEP的入口点则是在0041AB0C这里 请看下面 0041AB0C /. 55 PUSH EBP 0041AB0D |. 8BEC MOV EBP,ESP 0041AB0F |. 6A FF PUSH -1 0041AB11 |. 68 081E4700 PUSH 1.00471E08 0041AB16 |. 68 70AC4100 PUSH 1.0041AC70 ; SE 处理程序安装 0041AB1B |. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0] 0041AB21 |. 50 PUSH EAX 0041AB22 |. 64:8925 00000>MOV DWORD PTR FS:[0],ESP 0041AB29 |. 83EC 68 SUB ESP,68 0041AB2C |. 53 PUSH EBX 0041AB2D |. 56 PUSH ESI 0041AB2E |. 57 PUSH EDI 0041AB2F |. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 0041AB32 |. 33DB XOR EBX,EBX 0041AB34 |. 895D FC MOV DWORD PTR SS:[EBP-4],EBX 0041AB37 |. 6A 02 PUSH 2 0041AB39 |. FF15 70FB4600 CALL DWORD PTR DS:[46FB70] 0041AB3F |. 59 POP ECX 0041AB40 |. 830D 74704A00>OR DWORD PTR DS:[4A7074],FFFFFFFF 0041AB47 |. 830D 78704A00>OR DWORD PTR DS:[4A7078],FFFFFFFF 0041AB4E |. FF15 74FB4600 CALL DWORD PTR DS:[46FB74] 0041AB54 |. 8B0D 94664A00 MOV ECX,DWORD PTR DS:[4A6694] 0041AB5A |. 8908 MOV DWORD PTR DS:[EAX],ECX 0041AB5C |. FF15 78FB4600 CALL DWORD PTR DS:[46FB78] 如在这里设断点然后运行到这的话，脱壳在当前用DUmp脱过后则显示为Microsoft Visual C++ v6.0 这说明已经脱完壳了，但是脱完之后的程序比原来的还要小之前3M多现在2M多， 这个壳可能是个加密壳吧！ （还有就是如果说在这里用lordpe纠正脱壳完的程序用PEID查这个壳还是显示为 yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] *这个也不可以运行用Import修复也不行） 但是运行这个脱过壳的文件后运行报错如下提示： 用Import修复时有一针是无效的针我做了剪切！然后抓取后的文件！也不出现上 面的提示啦，但就是运行不了，一直在进程中只能强行结束它才行！ 这个壳有点变态！大部分的CALL都要用F7进入才行！（不管你的CALL是远的还是 近的如果按F8程序就会运行）不然就会运行了！

脱壳和加壳是什么意思？有什么能破解吗

壳，脱壳，加壳
在自然界中，我想大家对壳这东西应该都不会陌生了，由上述故事，我们也可见一斑。自然界中植物用它来保护种子，动物用它来保护身体等等。同样，在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然（但后来也出现了所谓的“壳中带籽”的壳）。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样，其实都是命名上的方法罢了。 从功能上抽象，软件的壳和自然界中的壳相差无几。无非是保护、隐蔽壳内的东西。而从技术的角度出发，壳是一段执行于原始程序前的代码。原始程序的代码在加壳的过程中可能被压缩、加密……。当加壳后的文件执行时，壳－这段代码先于原始程序运行，他把压缩、加密后的代码还原成原始程序代码，然后再把执行权交还给原始代码。 软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的OEP（入口点，防止被破解）。关于“壳”以及相关软件的发展历史请参阅吴先生的《一切从“壳”开始》。

（一）.壳的概念
作者编好软件后,编译成exe可执行文件。 1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等，即为了保护软件不被破解，通常都是采用加壳来进行保护。 2.需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩, 3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。
实现上述功能,这些软件称为加壳软件。

（二）.加壳软件最常见的加壳软件ASPACK ,UPX,PEcompact 不常用的加壳软件WWPACK32；PE-PACK ；PETITE ；NEOLITE

（三）.侦测壳和软件所用编写语言的软件，因为脱壳之前要查他的壳的类型。 1.侦测壳的软件fileinfo.exe 简称fi.exe(侦测壳的能力极强) 2.侦测壳和软件所用编写语言的软件language.exe(两个功能合为一体,很棒) 推荐language2000中文版（专门检测加壳类型） 3.软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC)

（四）脱壳软件。 软件加壳是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具，当然有盾，自然就有矛，只要我们收集全常用脱壳工具，那就不怕他加壳了。软件脱壳有手动脱壳和自动脱壳之分，下面我们先介绍自动脱壳，因为手动脱壳需要运用汇编语言，要跟踪断点等，不适合初学者，但我们在后边将稍作介绍。
加壳一般属于软件加密，现在越来越多的软件经过压缩处理，给汉化带来许多不便，软件汉化爱好者也不得不学习掌握这种技能。现在脱壳一般分手动和自动两种，手动就是用TRW2000、TR、SOFTICE等调试工具对付，对脱壳者有一定水平要求，涉及到很多汇编语言和软件调试方面的知识。而自动就是用专门的脱壳工具来脱，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX；有些不提供这功能，如：ASPACK，就需要UNASPACK对付，好处是简单，缺点是版本更新了就没用了。另外脱壳就是用专门的脱壳工具来对付，最流行的是PROCDUMP v1.62 ，可对付目前各种压缩软件的压缩档。在这里介绍的是一些通用的方法和工具，希望对大家有帮助。我们知道文件的加密方式，就可以使用不同的工具、不同的方法进行脱壳。下面是我们常常会碰到的加壳方式及简单的脱壳措施，供大家参考： 脱壳的基本原则就是单步跟踪，只能往前，不能往后。脱壳的一般流程是:查壳->寻找OEP->Dump->修复 找OEP的一般思路如下： 先看壳是加密壳还是压缩壳，压缩壳相对来说容易些，一般是没有异常，找到对应的popad后就能到入口，跳到入口的方式一般为。 我们知道文件被一些压缩加壳软件加密，下一步我们就要分析加密软件的名称、版本。因为不同软件甚至不同版本加的壳，脱壳处理的方法都不相同。

常用脱壳工具： 1、文件分析工具（侦测壳的类型）：Fi,GetTyp,peid，pe-scan， 2、OEP入口查找工具：SoftICE,TRW,ollydbg,loader,peid 3、dump工具：IceDump,TRW,PEditor,ProcDump32,LordPE 4、PE文件编辑工具：PEditor,ProcDump32,LordPE 5、重建Import Table工具：ImportREC,ReVirgin 6、ASProtect脱壳专用工具：Caspr(ASPr V1.1-V1.2有效)，Rad(只对ASPr V1.1有效),loader,peid
(1)Aspack: 用的最多，但只要用UNASPACK或PEDUMP32脱壳就行了 (2)ASProtect+aspack: 次之，国外的软件多用它加壳，脱壳时需要用到SOFTICE+ICEDUMP，需要一定的专业知识，但最新版现在暂时没有办法。 (3)Upx: 可以用UPX本身来脱壳，但要注意版本是否一致，用-D 参数 (4)Armadill: 可以用SOFTICE+ICEDUMP脱壳，比较烦 (5)Dbpe: 国内比较好的加密软件，新版本暂时不能脱，但可以破解 (6)NeoLite: 可以用自己来脱壳 (7)Pcguard: 可以用SOFTICE+ICEDUMP+FROGICE来脱壳 (8)Pecompat: 用SOFTICE配合PEDUMP32来脱壳，但不要专业知识 (9)Petite: 有一部分的老版本可以用PEDUMP32直接脱壳，新版本脱壳时需要用到SOFTICE+ICEDUMP，需要一定的专业知识 (10)WWpack32: 和PECOMPACT一样其实有一部分的老版本可以用PEDUMP32直接脱壳，不过有时候资源无法修改，也就无法汉化，所以最好还是用SOFTICE配合 PEDUMP32脱壳 我们通常都会使用Procdump32这个通用脱壳软件，它是一个强大的脱壳软件，他可以解开绝大部分的加密外壳，还有脚本功能可以使用脚本轻松解开特定外壳的加密文件。
另外很多时候我们要用到exe可执行文件编辑软件ultraedit。我们可以下载它的汉化注册版本,它的注册机可从网上搜到。ultraedit打开一个中文软件,若加壳,许多汉字不能被认出 ultraedit打开一个中文软件,若未加壳或已经脱壳,许多汉字能被认出 ultraedit可用来检验壳是否脱掉,以后它的用处还很多,请熟练掌握例如,可用它的替换功能替换作者的姓名为你的姓名注意字节必须相等,两个汉字替两个,三个替三个,不足处在ultraedit编辑器左边用00补

脱壳是什么意思？

人吗？还是别的什么东西？
动物的话，主要是昆虫，在成长过程中会进行脱壳这个过程

什么是木马的加壳和脱壳

一.穿马甲—木马加壳的实现
什么是加壳？
所谓加壳.其实是指利用特殊的算法.对EXE. DLL文件里的资派进行压缩的方法.这个压绷之后的文件可以独立运行.解压过程完全a蔽.都在内存中完成。加壳一般有两种用途:
一是大部分的程序是因为防止反跟踪.防止程序被人跟踪调试，防止算法程序不思被别人静态分析。加密代码和数据.保护程序效据的完枯性，不被修改或者窥说程序的像代码。
二是将一些恶愈程序包装起来.进过杀雌软件的监视。从而实现自己的fl的.如加壳后的木马程序。显然.我们这里的加壳主要是针对第二种情况。
2.加壳实战
听起来.加壳是个很复杂的操作.但实际上我们并不循要自己去编写加壳程序来为谏程序进行加充。日蔺.成热的、免费的第三方加先程序非常多.如UPX. WWPACK等等。使用这些程序。只需进行简单的设置.就可以对自己的软件进行加壳。比方说灰鸽子的服务器端就是使用UPX加壳的。
那么.是不是加了壳的水马就能够成功的躲过任何杀毒软件的监控呢?事实上.在没有脱壳之前。的确能够发理壳内谏代码的杀毒软件还不多.但是一且加壳的木马被执行之后。完成了脱光的过程.那么跟踪内存的杀毒软件会很快的发现内存中正在运行中的木马.最后将之杀掉。实际上。国内很多杀毒软件已经拿握了检洲加壳恶愈程序的技术。如.在从服务器中下载加壳的木马服务器端程序时.就会弹出如I'd所示的提示。
从图中可以粉出.Setup.cxe文件中包括了加壳技术已经被检侧出来了。那么.恶愈程序是如何实现加光的呢?木马加壳的技术实际上很简单.当一个服务器劝的EXE程序生成好后.111以很轻松地利用ASPACK, UPX, WWPACK等这些第三方的程序进行加壳操作。下面.让我们来村肴如何使用AS Pack汉化版对一个程序进行加壳，其体过程是:
第1步：下载ASPack汉化版.
第2步：在“选项.设it界面中.在语言一列表中选择"Chinese"项.使软件界面转为汉化形式.如图所示。
第3步：在“打开文件一界面中.将准备进行加壳的程序添加进来.这哄添加的是压编程序Winter.如图所示。
第4步：在完成软件的添加后.将立即跳转到.压缩’界面中，此时可以肴到软件的加光操作己经开始。如图所示。
第5步：在完成加壳后.可以单击“压缩.界面中的.侧试.按钮.侧试一下加了壳后的程序能否运行。如果出现程序界面.荆表示加壳成功。如果是对恶愈程序进行加壳.一般就不要点击了.否."1稗后工作将会很萦琐。如图所示。
与加壳相反的过程称之为.脱壳二n的是把加壳后的程序恢艾成毫无包装的可执行代码，这样未授权都可以对其进行修改。“脱壳’的过程与.加壳，的探作栩似.沮不同是的“加壳.
软件.需要使用不间的“脱壳.软件。人役者必裕知进目标程序使用的是哪种.加光，软件进行加壳的.然后再用对应的“脱充.软件进行脱壳即可。简单地来说.加壳与脱壳就相当于加密和
解密的关系。

什么是加壳和脱壳技术

app开发完后，最好做一下扫描和加固，应用扫描可以通过静态代码分析、动态数据跟踪，定位出风险代码，同时监控敏感数据的异常行为。
加固可以在一定程度上保护自己核心代码算法,提高破解/盗版/二次打包的难度，缓解代码注入/动态调试/内存注入攻击等。
目前市面上有很多第三方加固的平台， 如果新应用发布前需要扫描或者加固的话，可以先试试免费的，例如腾讯御安全，建议自己先去扫描测试下。

脱壳是什么意思

首先我想大家应该先明白“壳”的概念。在自然界中，我想大家对壳这东西应该都不会陌生了，植物用它来保护种子，动物用它来保护身体等等。同样，在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然（但后来也出现了所谓的“壳中带籽”的壳）。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样，其实都是命名上的方法罢了。

最早提出“壳”这个概念的，据我所知，应该是当年推出脱壳软件 RCOPY 3 的作者熊焰先生。在几年前的 DOS 时代，“壳”一般都是指磁盘加密软件的段加密程序，可能是那时侯的加密软件还刚起步不久吧，所以大多数的加密软件（加壳软件）所生成的“成品”在“壳”和需要加密的程序之间总有一条比较明显的“分界线”。有经验的人可以在跟踪软件的运行以后找出这条分界线来，至于这样有什么用这个问题，就不用我多说了。但毕竟在当时，甚至现在这样的人也不是很多，所以当 RCOPY3 这个可以很容易就找出“分界线”，并可以方便的去掉“壳”的软件推出以后，立即就受到了很多人的注意。老实说，这个我当年在《电脑》杂志看到广告，在广州电脑城看到标着999元的软件，在当时来说，的确是有很多全新的构思，单内存生成 EXE 可执行文件这项，就应该是世界首创了。但它的思路在程序的表现上我认为还有很多可以改进的地方（虽然后来出现了可以加强其功力的 RO97），这个想法也在后来和作者的面谈中得到了证实。在这以后，同类型的软件想雨后春笋一般冒出来，记得住名字的就有： UNKEY、MSCOPY、UNALL .... 等等，但很多的软件都把磁盘解密当成了主攻方向，忽略了其它方面，当然这也为以后的“密界克星”“解密机器”等软件打下了基础，这另外的分支就不多祥谈了，相信机龄大一点的朋友都应该看过当时的广告了。

解密（脱壳）技术的进步促进、推动了当时的加密（加壳）技术的发展。LOCK95和 BITLOK 等所谓的“壳中带籽”加密程序纷纷出笼，真是各出奇谋，把小小的软盘也折腾的够辛苦的了。正在国内的加壳软件和脱壳软件较量得正火红的时候，国外的“壳”类软件早已经发展到像 LZEXE 之类的压缩壳了。这类软件说穿了其实就是一个标准的加壳软件，它把 EXE 文件压缩了以后，再在文件上加上一层在软件被执行的时候自动把文件解压缩的“壳”来达到压缩 EXE 文件的目的。接着，这类软件也越来越多， PKEXE、AINEXE、UCEXE 和后来被很多人认识的 WWPACK 都属于这类软件，但奇怪的是，当时我看不到一个国产的同类软件。

过了一段时间，可能是国外淘汰了磁盘加密转向使用软件序列号的加密方法吧，保护 EXE 文件不被动态跟踪和静态反编译就显得非常重要了。所以专门实现这样功能的加壳程序便诞生了。 MESS 、CRACKSTOP、HACKSTOP、TRAP、UPS 等等都是比较有名气的本类软件代表，当然，还有到现在还是数一数二的，由台湾同胞所写的 FSE 。其实以我的观点来看，这样的软件才能算是正宗的加壳软件。
在以上这些加壳软件的不断升级较劲中，很多软件都把比较“极端”技术用了上去，因为在这个时候 DOS 已经可以说是给众高手们玩弄在股掌之间了，什么保护模式、反 SICE 、逆指令等等。相对来说，在那段时间里发表的很多国外脱壳程序，根本就不能对付这么多的加壳大军，什么 UPC、TEU 等等都纷纷成为必防的对象，成绩比较理想的就只有 CUP386 了，反观国内，这段时间里也没了这方面的“矛盾斗争”。加壳软件门挥军直捣各处要岗重地，直到在我国遇到了 TR 这个铜墙铁壁以后，才纷纷败下阵来各谋对策，但这已经是一年多以后的事情了。我常想，如果 TR 能早两年“出生”的话，成就肯定比现在大得多，甚至盖过 SICE 也有可能。TR 发表的时候 WIN95 的流行已经成为事实，DOS 还有多少的空间，大家心里都清楚。但话又说回来， TR 的确是个好软件，比起当年的 RCOPY3 有过之而无不及，同时也证明了我们中国的 CRACK 实力（虽然有点过时）。这个时候，前面提到过的 FSE 凭着强劲的实力也渐渐的浮出了水面，独领风骚。其时已经是 1997 年年底了，我也走完了学生“旅程”。工作后在CFIDO 的 CRACK 区认识了 Ding-Boy ，不久 CRACK 区关了，我从此迷上了 INTERNET，并于98年6月建起了一个专门介绍“壳”的站台： http://topage.126.com ;，放上了我所收集的所有“壳”类软件。在这段时间里，各种“壳”类软件也在不段的升级换代，但都没什么太大的进展，差不多就是 TR 和众加壳软件的版本数字之争而已。
1998年8月，一个名为 UNSEC （揭秘）的脱壳软件发表了，它号称可以脱掉98年8月以前发表的所有壳。我测试之后，觉得并没传闻中的那么厉害，特别是兼容性更是令我不想再碰它。 Ding-Boy 给这个软件的作者提了很多建议，但寄去的 EMIAL 有如泥牛入海，可能是一怒之下吧，不久 Ding-Boy 的 BW （冲击波）就诞生了。这个使用内存一次定位生成 EXE 文件（后来放弃了）的脱壳软件，在我的站台公开后，得到了很多朋友们的肯定。要知道，从RCOPY 3 开始，绝大部分的脱壳软件都是要两次运行目标程序来确定 EXE 的重定位数据的。BW 的这一特点虽然有兼容性的问题，但也树立了自己的风格、特色。经过几个月的改善， BW 升级到了 2.0 版本，这个版本的推出可以说是 BW 的转折点，因为它已经是一个成熟、稳定脱壳软件了，它可以对付当时（现在）大多数的壳，包括当时最新的 FSE 0.6 等。更重要的是这个版本把选择壳的和软件“分界线”这个最令新手头疼的步骤简化到不能再简化的地步，使更多的朋友接受了它。另外，能加强 BW 功力的 CI 模式也是其它脱壳软件没有的东西。最近，BW 发表了最新的 2.5 BETA2 版本，增强了一些方面的功能，因它竟然可以脱掉号称最厉害的磁盘加密工具 LOCKKING 2.0 的加密壳，因而进一步奠定了它在“脱壳界”的地位。说到最新，就不能不提 GTR、LTR、EDUMP、ADUMP、UPS、UPX、APACK 这几个国外的好软件了，它们每个都有自己的特色，可以说都是当今各类“壳”中的最新代表了。（这些软件和详细介绍请到我的主页查阅）

由于 WINDOWS 3.1 只是基于 DOS 下的一个图形外壳，所以在这个平台下的“壳”类软件很少，见过的就只有像 PACKWIN 等几个有限的压缩工具，终难成气候。

可能是 MICROSOFT 保留了 WIN95 的很多技术上的秘密吧，所以即便是 WIN95 已经推出了 3 年多的时间，也没见过在其上面运行的“壳”类软件。直到 98 年的中期，这样的软件才迟迟的出现，而这个时候 WIN98 也发表了有一段日子了。应该是有 DOS 下的经验吧，这类的软件不发表由自可，一发表就一大批地的冲了出来。先是加壳类的软件如： BJFNT、PELOCKNT 等，它们的出现，使暴露了 3 年多的 WIN95 下的 PE 格式 EXE 文件得到了很好的保护。大家都应该知道现在很多 WIN95 下的软件都是用注册码的方法来区分、确定合法与非法用户的吧，有了这类加壳软件，这种注册方法的安全性提高了不少，如果大家也有自己编的 WIN95 程序，就一定要多留意一下本类软件了。接着出现的就是压缩软件了，因为 WIN95 下运行的 EXE 文件“体积”一般都比较大，所以它的实用价值比起 DOS 下的压缩软件要大很多，这类的软件也很多，早些时候的 VBOX、PEPACK、PETITE 和最近才发表的 ASPACK、UPX 都是其中的佼佼者。在 DOS 下很流行的压缩软件 WWPACK 的作者也推出了对应 WIN95 版本的 WWPACK32，由于性能并不是十分的突出，所以用的人也不太多。由于压缩软件其实也是间接给软件加了壳，所以用它们来处理 EXE 也是很多软件作者喜欢做的事情，最近新发表的很多软件里都可以看到这些加壳、加压缩软件的名字了。有加壳就一定会有脱壳的，在 WIN95 下当然也不例外，但由于编这类软件比编加壳软件要难得多，所以到目前为止，我认为就只有 PROCDUMP 这个软件能称为通用脱壳软件了，它可以对付现在大多数的加壳、压缩软件所加的壳，的确是一个难得的精品。其它的脱壳软件多是专门针对某某加壳软件而编，虽然针对性强、效果好，但收集麻烦，而且这样的脱壳软件也不多。前些时候 TR 作者也顺应潮流发表了 TR 的 WIN95 版本： TRW ，由现在的版本来看可以对付的壳还不多，有待改进。
BW 的作者 Ding-Boy 最新发表了一个 WIN95 的 EXE 加壳软件 DBPE 。虽然它还不太成熟，但它可以为软件加上使用日期限制这个功能是其它加壳软件所没有的，或者以后的加壳软件真的会是像他说的那样可以：加壳和压缩并重、并施；随意加使用日期；加上注册码；加软件狗（磁盘）保护；加硬件序列号判别；加... 。

附加一点内容

一.壳的概念
作者编好软件后,编译成exe可执行文件
1.有一些版权信息需要保护起来,不想让别人
随便改动,如作者的姓名等
2.需要把程序搞的小一点,从而方便使用
于是,需要用到一些软件,他们能将exe可执行文件压缩,
实现上述两个功能,这些软件称为加壳软件或压缩软件.
它不同于一般的winzip,winrar等压缩软件.
它是压缩exe可执行文件的,压缩后的文件可以直接运行.

二.加壳软件
最常见的加壳软件ASPACK ,UPX,PEcompact
不常用的加壳软件WWPACK32；PE-PACK ；PETITE ；NEOLITE

三.侦测壳和软件所用编写语言的软件
1.侦测壳的软件fileinfo.exe 简称fi.exe(侦测壳的能力极强)
使用方法:

第一种：待侦测壳的软件(如aa.exe)和fi.exe位于同一目录下,执行
windows起始菜单的运行,键入
fi aa

第二种：待侦测壳的软件(如aa.exe)和fi.exe位于同一目录下,将aa的图标拖到fi的图标上
2.侦测壳和软件所用编写语言的软件language.exe(两个功能
合为一体,很棒) 推荐language2000中文版,我的主页可下载
傻瓜式软件,运行后选取待侦测壳的软件即可(open)

图中所示软件cr-xxzs.exe是用Visual Basic6.0编的，upx加壳

3.软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC)