HarmonyOS SDK使能美团高效开发,打造优质创新应用体验
泊仁烟汾壳的定义
“壳”的具象理解就类似花生壳,用来保护里面的花生仁。人想吃到里面果实,就需要将其剥掉。
软件也存在这样类似的东西,这种东西我们也称之为“壳”,两者的目标都是一样的,都是用来保护,而“壳”用来保护可执行程序资源,避免被其他人窥探和篡改,但是壳又不会改变或影响原程序的功能。
壳根据加密和非加密的技术手段来作分类,一般分为两类:
压缩壳(非加密)
加密壳
无论哪种技术手段,加壳的流程都是大致是相同的。我们给自身软件加壳后,就会产生出一个新程序,新程序是由壳和原程序两部分组成。
系统在执行这个新程序的时候,先去执行壳程序,由壳对原程序进行解压(或解密)并还原到内存中去,系统将正常执行原来的程序。
由此,了解的壳的定义:
新程序(已加壳) = 壳程序 + 加壳流程 + 原程序
加壳原理
开发人员对原程序加壳的工作流程(加壳原理):
压缩/加密:对原始程序的代码段、数据段等关键部分进行压缩或加密,使其变成一堆“乱码”。
植入外壳:生成一个外壳程序,并将加密/压缩后的原始程序数据作为一部分附加在这个外壳程序后面。
修改入口点:修改生成的可执行文件的“程序入口点”(OEP, Original Entry Point),使其指向外壳程序的代码,而不是原始程序的代码。
image
加壳后的程序,在系统里的执行流程:
用户双击启动加壳后的程序。
操作系统加载器将程序读入内存。此时,内存中的代码是外壳的代码,原始程序部分仍是加密/压缩状态。
CPU 开始执行外壳代码。
外壳程序开始工作:
检查自身是否被调试。
解密 或 解压缩 内存中的原始程序数据。
进行必要的环境修复(如重建导入表)。
外壳程序将 CPU 的执行流跳转到原始程序的真正入口点(OEP)。
至此,原始程序开始正常运行,和执行原程序一样效果。
脱壳原理
理解了加壳后,脱壳就很好理解了,就是逆回来操作一次。
什么是脱壳?
摘掉壳程序,将加密/压缩后可执行文件还原出来。
脱壳的基本原理:
脱壳的核心思想是 “内存转储”。因为无论外壳多么复杂(加密多完好),它最终都必须在内存中将原始程序完整地、可执行地还原出来。 脱壳就是要抓住这个瞬间。
脱壳的方法:
image
对抗与演进
加壳与脱壳就像是一场永无休止的“军备竞赛”。
壳的进化:出现了 VMProtect、Themida 等“强壳”。它们使用虚拟机保护技术,将原始代码翻译成自定义的指令集,极大地增加了分析和脱壳的难度。
脱壳技术的进化:出现了自动脱壳机、脚本、以及更高级的动态和静态分析技术,专门研究反虚拟机保护技术的人员。