记录一次应用程序加壳与脱壳实验过程!
实验目的#创作者赋能学院#
通过对灰鸽子自带的加壳程序,实现对改程序的加壳操作,并对加壳前后作出相应比较。进一步了解加壳、脱壳的原理以及作用。
实验内容
使用灰鸽子黑防专版生成加壳和未加壳程序;使用PEID测试加壳程序;使用UPXUnpack汉化版(利用OD脱壳)对已加壳的程序进行脱壳操作。
实验步骤
加壳部分
打开灰鸽子黑防专版,具体步骤如下;
1、配置服务程序,生成不加壳程序。点击工具栏上的“配置服务程序”按钮,自动上线设置中,ip设置为127.0.0.1;选择“高级选项”,选择 不加壳,设置保存路径保存路径当前文件夹,保存文件名称为 Server.exe ,然后点击 生成服务器。此时在系统桌面上将生成该程序。这个程序即为没有加壳的灰鸽子程序。
2、配置服务程序,生成加壳程序。
在主界面点击配置服务程序,打开服务器配置对话框设置好IP地址为127.0.0.1,然后点击“高级选项”选择:使用UPX加壳,保存路径当前文件夹,保存文件名设置为Server_jiake.exe ,并点击生成服务器按钮。
3、生成完毕,关闭灰鸽子,即可看到当前文件夹的两个文件: Server.exe(未加壳程序)和Server_jiake.exe(已加壳程序)
4、打开PEID程序;将这两个文件分别拖到PEiD程序界面。 分别查看检测结果 ,以下两个图分别是未加壳和加了壳的检测结果,可以看出,未加壳程序所检测出来的是文件开发工具,而加了壳的文件检测出来的是加壳信息。
脱壳部分
1、打开UPXUnpack汉化版程序,主界面如下;直接拖动Server_jiake.exe文件
2、生成新的文件和备份文件(原文件),我们把备份文件改名为Server-jiake(yuan),把已更改的文件改名为Server-tuoke。
3、再次打开PEID程序,检测Server_tuoke.exe文件的加壳信息。
其他
当服务器配置对话框设置IP地址为192.254.221.196即本机地址时,当在别的主机打开加壳程序后,便取得了其他主机的控制权。可以查看文件、强行重启、强行关机等。
总结
通过本次实验,我们对于加壳与脱壳有了初步的了解,对于保护和反跟踪的手段也有了更多的了解,灰鸽子加壳程序操作简单,使用方便,很容易上手。建议大家在实验的过程中在虚拟机中进行操作,不要做违法违纪的操作,确保实验的安全性与合法性。
注:由于限制规则,一些内容不能在文章中出现还请大家见谅。
想了解更多精彩内容,快来关注网络安全小贴士