Red de conocimiento informático - Material del sitio web - ¿Cómo modificar archivos EXE?

¿Cómo modificar archivos EXE?

La información del archivo EXE generalmente no se puede cambiar directamente porque está compilada y generalmente empaquetada.

Si quieres cambiarlo, tienes que usar shelling. Es posible que se empaqueten diferentes archivos utilizando software diferente.

Después de probar y descomprimir con varias herramientas de descompresión y luego descompilar, es posible obtener información relevante del archivo y cambiarla.

(1) El concepto de shell

Después de que el autor compila el software, lo compila en un archivo ejecutable exe. 1. Hay cierta información de derechos de autor que debe protegerse y no quiere que otros la cambien casualmente, como el nombre del autor, para evitar que el software sea descifrado, generalmente está protegido mediante embalaje. 2. Es necesario hacer el programa más pequeño para que sea más fácil de usar. Por lo tanto, necesita utilizar algún software que pueda comprimir archivos ejecutables exe. 3. En el mundo de los piratas informáticos, empaquete y descomprima caballos de Troya y otro software para evitar el software antivirus. Para lograr las funciones anteriores, este software se denomina software empaquetador.

(2) Software de embalaje El software de embalaje más común ASPACK, UPX, PEcompact y el software de embalaje menos utilizado WWPACK32 PE-PACK; PETITE NEOLITE

(3) Detección La carcasa y el lenguaje de programación utilizado por el software, porque el tipo de shell debe verificarse antes de desempaquetarlo. 1. El software fileinfo.exe que detecta shells se llama fi.exe para abreviar (tiene una gran capacidad para detectar shells) 2. El software language.exe que detecta el lenguaje de escritura utilizado por los shells y el software (las dos funciones son combinados en uno, genial) Idioma recomendado Versión china 2000 (especializada en detectar tipos de empaquetadores) 3. Los lenguajes de escritura de software más utilizados son Delphi, VisualBasic (VB) --- el más difícil de descifrar, VisualC (VC)

(4) Desembalaje del software. El empaquetado de software es un método común utilizado por los autores para proteger su propio código o mantener los derechos de propiedad del software y otros intereses después de escribir el software. Hay muchas herramientas de bombardeo en la actualidad, por supuesto que hay escudos y, naturalmente, hay lanzas. Siempre que recopilemos todas las herramientas de bombardeo de uso común, no tendremos miedo de que las empaqueten. El bombardeo de software se puede dividir en bombardeo manual y bombardeo automático. Primero introduzcamos el bombardeo automático, porque el bombardeo manual requiere el uso de lenguaje ensamblador, seguimiento de puntos de interrupción, etc., y no es adecuado para principiantes, pero lo presentaremos más adelante.

El empaquetado generalmente pertenece al cifrado de software. Hoy en día, cada vez se comprime más software, lo que genera muchos inconvenientes para la localización y los entusiastas de la localización de software también tienen que aprender a dominar esta habilidad. Hoy en día, el bombardeo se divide generalmente en dos tipos: manual y automático. Manual significa utilizar herramientas de depuración como TRW2000, TR, SOFTICE, etc., lo que requiere un cierto nivel de bombardeo e implica mucho conocimiento en lenguaje ensamblador y depuración de software. . La descompresión automática significa utilizar una herramienta de descompresión especial. El software de compresión más utilizado tiene herramientas anticompresión escritas por otros. Algunas herramientas de compresión pueden descomprimirse por sí mismas, como UPX, algunas no proporcionan esta función, como ASPACK, que requiere The; La ventaja de tratar con UNASPACK es que es simple, pero la desventaja es que es inútil una vez actualizada la versión. Además, se utilizan herramientas de descompresión especiales para descomprimir. La más popular es PROCDUMP v1.62, que puede manejar archivos comprimidos de varios programas de compresión actuales. Aquí hay algunos métodos y herramientas comunes, espero que sean útiles para todos. Sabemos cómo se cifran los archivos, por lo que podemos utilizar diferentes herramientas y métodos para descomprimirlos. Los siguientes son los métodos de embalaje y las medidas sencillas de desembalaje que encontramos a menudo para su referencia: El principio básico del desembalaje es el seguimiento de un solo paso, que sólo puede avanzar, no retroceder. El proceso general de descompresión es: Verificar el shell -> Buscar OEP -> Volcar -> Reparar La idea general para encontrar OEP es la siguiente: Primero verifique si el shell es un shell cifrado o comprimido. relativamente más fácil Generalmente, no hay anomalías. Buscar Puede llegar a la entrada haciendo clic en el popad correspondiente. La forma general de saltar a la entrada es. Sabemos que los archivos están cifrados mediante algún software de compresión y empaquetado. El siguiente paso es analizar el nombre y la versión del software de cifrado. Debido a que diferentes software e incluso diferentes versiones agregan shells, los métodos de descompresión son diferentes.

Herramientas de descompresión de uso común: 1. Herramientas de análisis de archivos (detección de tipo de shell): Fi, GetTyp, peid, pe-scan, 2. Herramientas de búsqueda de entradas OEP: SoftICE, TRW, ollydbg, loader, peid 3. Herramientas de volcado: IceDump, TRW, PEditor, ProcDump32, LordPE 4. Herramientas de edición de archivos PE PEditor, ProcDump32, LordPE 5. Herramientas para reconstruir la tabla de importación: ImportREC, ReVirgin 6. Herramienta especial de descascarado ASProtect: Caspr (ASPr V1.1 -V1 .2 válido), Rad (solo válido para ASPr V1.1), cargador, peid (1) Aspack: es el que más se usa, pero solo use UNASPACK o PEDUMP32 para descomprimir (2) ASProtect+aspack: en segundo lugar, el software extranjero está empaquetado en su mayor parte Con él, al descomprimirlo, debe usar SOFTICE+ICEDUMP, lo que requiere ciertos conocimientos profesionales, pero no hay forma de hacerlo para la última versión. (3) Upx: puede usar UPX para descomprimir, pero debe prestar atención a si la versión es consistente, use el parámetro -D (4) Armadill: puede usar SOFTICE + ICEDUMP para descomprimir, lo cual es más problemático (5 ) Dbpe: el mejor software de cifrado en China, la nueva versión no se puede descomprimir por el momento, pero se puede descifrar (6) NeoLite: puede descomprimirlo usted mismo (7) Pcguard: puede usar SOFTICE+ICEDUMP+FROGICE para descomprimirlo (8) Pecompat: utilice SOFTICE con PEDUMP32 para descomprimirlo, pero no se requieren conocimientos profesionales (9) Petite: algunas versiones antiguas se pueden descomprimir directamente con PEDUMP32. Cuando se descomprimen nuevas versiones, es necesario utilizar SOFTICE+ICEDUMP. lo cual requiere ciertos conocimientos profesionales (10) WWpack32: Al igual que PECOMPACT, en realidad existen algunas versiones antiguas. La versión se puede descomprimir directamente con PEDUMP32, pero a veces los recursos no se pueden modificar ni se pueden chinoizar, por lo que es mejor usar SOFTICE con PEDUMP32. Para descomprimir, generalmente usamos Procdump32, un software de descompresión general, que es un potente software de descompresión que puede descifrar la mayoría de los shells cifrados, y también hay una función de script que puede descifrar fácilmente archivos cifrados por un shell específico mediante scripts. Además, muchas veces necesitamos utilizar el software de edición de archivos ejecutables exe ultraedit. Podemos descargar su versión de registro china y su máquina de registro se puede encontrar en línea. Ultraedit abre un software chino. Si está empaquetado, no se pueden reconocer muchos caracteres chinos. Ultraedit abre un software chino. Si no está empaquetado o se ha descomprimido, se pueden reconocer muchos caracteres chinos. Se ha eliminado. ¿Para qué sirve en el futuro? Hay muchos más, domínelo con habilidad. Por ejemplo, puede usar su función de reemplazo para reemplazar el nombre del autor con su nombre. Los caracteres reemplazan a dos, tres reemplazan a tres. Complete las deficiencias con 00 en el lado izquierdo del editor ultraedit.

Métodos de bombardeo comunes:

(1) El bombardeo de Aspack se puede descomprimir o caspr 1.unaspack. El método de uso es similar al de lanuage, un software tonto. Después de ejecutarlo, seleccione. el archivo que se va a descomprimir es suficiente. Desventajas: solo se pueden descomprimir las versiones anteriores de aspack, pero las versiones superiores no se pueden descomprimir. 2. caspr Tipo 1: el software que se va a descomprimir (como aa.exe) y caspr.exe. están en el mismo directorio Ejecute el menú de inicio de Windows, escriba caspr aa.exe y el archivo descomprimido será aa.ex_, elimine el aa.exe original y cambie el nombre de aa.ex_ a aa.exe. El método de uso es similar al de fi. Ventajas: puede descomprimir cualquier versión de aspack y la capacidad de bombardeo es muy sólida. Desventajas: interfaz Dos.

Segundo: arrastre el ícono de aa.exe al ícono de caspr.exe *** Si se detecta como un shell aspack y ocurre un error al descomprimirlo con unaspack, significa que es una versión superior de aspack shell, solo use caspr para eliminarlo. (2) El bombardeo de Upx se puede realizar utilizando upx. El software que se va a descomprimir (como aa.exe) y upx.exe están en el mismo directorio. Ejecute el menú de inicio de Windows y escriba upx -d aa.exe (3. ) PEcompact shelling El uso de unpecompact para shells es similar al lenguaje tonto del software. Después de ejecutarlo, seleccione el software que se va a descomprimir (4) procdump es universal para descomprimir, pero generalmente no utiliza el método. : después de ejecutar, primero especifique el nombre del shell y luego seleccione el shell deseado. Utilice el software de descompresión para asegurarse de que el archivo descomprimido sea más grande que el archivo original. Dado que el software de descompresión es muy maduro, el descompresión manual generalmente no es posible. usado.

3. Compresión y desgranado

Hoy en día, el desgranado generalmente se divide en dos tipos: manual y automático. Manual significa utilizar herramientas de depuración como TRW2000, TR, SOFTICE, etc., que tiene ciertos efectos en los requisitos de nivel de los desgranadores. Automático es un poco mejor. Utilice una herramienta de descompresión especial. El software de compresión más utilizado tiene herramientas anticompresión escritas por otros. Algunas herramientas de compresión pueden descomprimirse por sí mismas, como UPX, algunas no proporcionan esta función, como: necesitas UNASPACK para solucionarlo. Muchos archivos se cifran mediante algún software de compresión y empaquetado, lo que requiere descomprimir y descomprimir los archivos antes de que puedan traducirse al chino. Este tipo de compresión es diferente de las herramientas de compresión con las que habitualmente entramos en contacto, como winzip, winrar y otras herramientas de compresión, pero no se pueden ejecutar directamente. Sin embargo, este tipo de software de compresión EXE aún puede ejecutarse. El archivo EXE está comprimido. Después de que esta herramienta de compresión comprime el archivo, agrega un código de descompresión al principio del archivo. Al ejecutar el archivo, el código primero lo descomprime y lo restaura. Sin embargo, todo esto se completa en la memoria, debido a la rápida velocidad de la computadora, básicamente no podemos sentir ninguna diferencia. Existen muchos programas de este tipo, como The bat, Acdsee, Winxfile, etc.

Para descomprimir, primero debes entender qué son las herramientas de compresión comunes, para que puedas conocerte a ti mismo y a tu enemigo. Hoy en día, a cada vez más proveedores de software les gusta usar la compresión para lanzar sus productos, como The bat! Utilice compresión UPX, ACDSEE3.0 utilice compresión ASPACK, etc. Tiene los siguientes factores: primero, el rendimiento de las microcomputadoras es cada vez mejor y la descompresión durante la ejecución es invisible y aceptable para los usuarios (el efecto del empaquetado del software es similar al efecto de WINZIP, pero el archivo después del empaquetado y la compresión puede ejecutarse De forma independiente, el proceso de descompresión está completamente oculto y se completa en la memoria. El principio de descompresión es que el empaquetador agrega un comando en el encabezado del archivo para indicarle a la CPU cómo descomprimirse, para que pueda ver el proceso de descompresión. el software se abre inmediatamente, sólo notará la diferencia en la velocidad de ejecución entre el software descomprimido y empaquetado si la configuración de su máquina es muy deficiente). La segunda es: el tamaño del software se reduce después de la compresión, lo que facilita la transmisión por red. El tercero es: aumentar la dificultad de craqueo. En primer lugar, el software empaquetador es diferente del software de compresión general como winzip y winrar. Comprime archivos ejecutables exe y los archivos comprimidos se pueden ejecutar directamente. El software de compresión como winzip y winrar puede comprimir cualquier archivo, pero no puede ejecutarse directamente. correr comprimido. Muchos sitios no permiten la carga de archivos ejecutables, sino sólo archivos comprimidos, tanto por razones de velocidad como de seguridad. Los archivos comprimidos con software empaquetador se reducen de tamaño, pero otras propiedades permanecen sin cambios. Sigue siendo un archivo EXE y aún se puede ejecutar, pero el proceso de ejecución es diferente al anterior. Después de que la herramienta de compresión comprime el archivo, agrega un código de descompresión al principio del archivo. Al ejecutar el archivo, el código primero lo descomprime y lo restaura. Sin embargo, todo esto se completa en la memoria, debido a la rápida velocidad de la computadora, básicamente no podemos sentir ninguna diferencia.