史上最全最完整,最详细,软件保护技术
一.脱壳机名字的由来 skylly's CoolDumpper,借用了看雪论坛里高人某个让人流口水的工具的名字 界面也是盗版的CoolDumpper,不过自己盗版技术不高,作成为了个怪样子~~ 二.脱壳机的本理 由以下几多大致局部构成, 1.侦壳罪能. 彻底拷贝自看雪论坛“任平生”的代码 2.Dummpper(进程转存) 初期,彻底拷贝自lenus的lenus's Dummper代码, 如今为了适应脱壳的须要,发现本来的代码对非范例格局的PE文件的办理有些小问题, 所以代码根柢都重写过了,但是根柢办理轨范还是一致的,外面上看不出来 3.cooldebugger plugin(调试插件) 彻底自主开发的插件,说是调试器其真没有用调试,而是注入,而后停行一些最简略的内存收配,没有 什么技术含质,可以完满躲过调试器检测的壳,应付内存查验比较强的壳可能不是很好用。 4.实正意义上的调试器 用最简略的调试API作的一个具有根柢罪能的调试器,目前还不能用于脱壳,只是一个玩具,为了未来扩展用的。 但是hook api始末不是很妥当,总会让壳有机可乘,以后可能会思考参预驱动,驱动最让我不安心的是它的不乱性。 三,对于源码 由于还正在开发中,久不开源(次要是怕被人拿去窜改,反而让人以为他是正宗,我是盗版) 等到我不再开发时,会开放全副源代码,技术那东西,共享才是王道。 四。运用注明。 我想不用说太多了吧,选择目的文件后(撑持拖放),再选择对应的插件,再点击脱壳按钮就可以了。可以说是濒临傻瓜化了... 几多个子罪能注明: 具体日志:是调试器用的 PE范例化:是对某些被改得乱七八糟的壳(如upack)停行简略的PE修复 移除自校验:那个罪能可以说是没有设想好,差异的壳自查验的处所纷比方样, 所以办理也应当纷比方样,可依照现有的工做形式又不成能把它作到plugin(插件)里面去, 但是,总之我会加进去的。 第V次挪用API中断:那个罪能是从CoolDumpper这儿抄袭界面遗留下来的,光有界面,未真现罪能,未来假如有主动脱壳搞不定 的壳时,可能可以把那个处所扩展成手动脱壳。 OEP输入框和IAT输入框:罪能曾经弱化,由脱壳插件主动完成。 纠正映象大小:罪能曾经弱化,曾经由dumpper主动完成。 五。对于priZZZate版原. 由于种种起因,不再发布public版原,仅做为暗里交流之用。 所谓暗里交流,可以算一种"精髓"门槛吧. 1.看雪论坛大概一蓑烟雨,30精以上的冤家(高手)大概500帖以上的冤家(超级水牛),大概30贴以内且精髓率正在1/3以上的(超级高手)随时可以向我索要最新版。不过我相信高手们只会把我那个东西当玩具玩玩罢了。 2.正在运用那个脱壳机历程中逢到比较重大的问题大概不能脱的壳,可以来E-mail和我交流,接待技术交流,回绝任何模式的脱壳乞求, 因为我只是个菜鸟。应付有价值的来信,我会酌情回复最新版脱壳机。 获得那个脱壳机的人,任由其从事。 六。开发目的 开发常见压缩壳和加密壳的插件并真现主动脱壳。 压缩壳插件作十个摆布,加密壳插件作二十个摆布。 压缩壳插件: upV, upack, aspack, nspack, mew, hmimys, pecompact, eVpressor, fsg, kbys, packman, PEncrypt (曾经根柢完成。) 加密壳插件:(还没想好,久定, 方才初步开发) pe-armor, armadillo, aspr, acpr, telcok, eVecrypt, pelock, pc-guard, morphine, safedisc, themida, enigma, obsidium, starforce, yoda_s_cryptor, epe, pespin, sZZZkp, sdp.............. 预估主步调最末版原版原号:2.0 预估所有插件最末版原号:0.3 已知bug: 1.由于修复输入表是用的ImpRec.dll那个动态链接库,我没有源码,它正在办理某些IAT不间断的步调时,获与的IAT的大小有问题,所以暂时还没 有处置惩罚惩罚方案来关于,等我温习好输入表构造,以后脱壳机就原人来重建输入表了,呵呵。 2.无奈关于多层壳. 3.办理自校验有问题,请不要等闲选中,否则成果自傲 如今发布的那个版原仅仅代表了一个脱壳机的起步阶段,当玩具吧。