装饰装潢班学习帖！

xiejinwu520

WinRar 的妙用
　　一、拒绝利用WinRAR捆绑的恶意程序
　　不少木马、硬盘炸弹等恶意程序就是利用WinRAR自解压程序捆绑程序来伪装自己。那如何区别正常的自解压文件和捆绑了恶意程序的自解压文件呢？
　　很简单！只要能发现自释放文件里面隐藏有多个文件，特别是多个可执行文件，就可以判定其中含有恶意程序。那么怎样才能知道自释放文件中含有几个文件，是哪些文件呢？
　　一个简单的识别方法是：用鼠标右击WinRAR自释放文件，在弹出菜单中选择“属性”，在“属性”对话框中你会发现较之普通的EXE文件多出两个标签，分别是：“档案文件”和“注释”。单击“注释”标签，看其中的注释内容，你就会发现里面含有哪些文件了，这样就可以做到心中有数，这是识别用WinRAR捆绑恶意程序文件的最好方法。
　　还有一个防范恶意程序方法，就是遇到WinRAR自解压程序不要直接运行，而是选择右键菜单中的“用WinRAR打开”，这样你就会发现该文件中到底有什么了。
　　二、压缩文件密码自动加
　　当用WinRAR创建很多个加密压缩包时，需要一个一个地来设置密码，这样效率非常低。其实我们可以利用WinRAR的设置默认的压缩选项，在生成压缩文件的同时自动加上一个自已设定的密码。
　　点击WinRAR菜单中的“选项→设置”，选择“压缩”选项卡。点击“创建默认配置”按钮，然后选择“高级”选项卡，再单击“设置密码”按钮，输入自己的密码，还可根据需要来选择是否加密文件名。
　　连续按两次确定，出现询问是否保存密码时按“是”保存设置即可。这样设置后，每次使用右键快捷菜单来创建压缩文件时，都会自动地添加你输入的默认密码，节省了不少宝贵的时间。所有压缩文件创建完成后，再按以上步骤，即单击“选项→设置→压缩→创建默认配置→高级→设置密码”，将密码保持为空，单击“确定 ”。这样，无论别人在你的电脑还是其他电脑打开你的压缩文件时都必须输入你刚才的密码才能打开。
3。给压缩的文件打上标记，在WinRAR中即可完成
好象跟md5码有点相似，玩过md5的都知道它的作用，呵呵，其实winrar也可以做到，今天才知道的。
　　现在网络硬盘很多，我们可以把一些文件放到网上和朋友共享，同时也担心共享的文件被别人给修改掉，如果用MD5码之类验证感觉太麻烦了，其实用WinRAR就可以轻松解决这个问题，因为它可以给压缩的文件打上标记。
　　右键点击要压缩的文件，在菜单中选择“添加到档案文件”，接着在弹出的窗口中把“设置用户身份校验”选中，然后点击“确定”按钮就可以了，如下图所示。这样在我们打开这个压缩文件时，在WinRAR窗口中点击菜单“工具→显示信息 ”，在信息窗口下面就可以看见“用户身份校验”信息，如果这个压缩文件被修改了，那用户身份信息也就会消失，这样就可以知道文件已经被修改了。

xiejinwu520

WinRar 的妙用
　　一、拒绝利用WinRAR捆绑的恶意程序
　　不少木马、硬盘炸弹等恶意程序就是利用WinRAR自解压程序捆绑程序来伪装自己。那如何区别正常的自解压文件和捆绑了恶意程序的自解压文件呢？
　　很简单！只要能发现自释放文件里面隐藏有多个文件，特别是多个可执行文件，就可以判定其中含有恶意程序。那么怎样才能知道自释放文件中含有几个文件，是哪些文件呢？
　　一个简单的识别方法是：用鼠标右击WinRAR自释放文件，在弹出菜单中选择“属性”，在“属性”对话框中你会发现较之普通的EXE文件多出两个标签，分别是：“档案文件”和“注释”。单击“注释”标签，看其中的注释内容，你就会发现里面含有哪些文件了，这样就可以做到心中有数，这是识别用WinRAR捆绑恶意程序文件的最好方法。
　　还有一个防范恶意程序方法，就是遇到WinRAR自解压程序不要直接运行，而是选择右键菜单中的“用WinRAR打开”，这样你就会发现该文件中到底有什么了。
　　二、压缩文件密码自动加
　　当用WinRAR创建很多个加密压缩包时，需要一个一个地来设置密码，这样效率非常低。其实我们可以利用WinRAR的设置默认的压缩选项，在生成压缩文件的同时自动加上一个自已设定的密码。
　　点击WinRAR菜单中的“选项→设置”，选择“压缩”选项卡。点击“创建默认配置”按钮，然后选择“高级”选项卡，再单击“设置密码”按钮，输入自己的密码，还可根据需要来选择是否加密文件名。
　　连续按两次确定，出现询问是否保存密码时按“是”保存设置即可。这样设置后，每次使用右键快捷菜单来创建压缩文件时，都会自动地添加你输入的默认密码，节省了不少宝贵的时间。所有压缩文件创建完成后，再按以上步骤，即单击“选项→设置→压缩→创建默认配置→高级→设置密码”，将密码保持为空，单击“确定 ”。这样，无论别人在你的电脑还是其他电脑打开你的压缩文件时都必须输入你刚才的密码才能打开。
3。给压缩的文件打上标记，在WinRAR中即可完成
好象跟md5码有点相似，玩过md5的都知道它的作用，呵呵，其实winrar也可以做到，今天才知道的。
　　现在网络硬盘很多，我们可以把一些文件放到网上和朋友共享，同时也担心共享的文件被别人给修改掉，如果用MD5码之类验证感觉太麻烦了，其实用WinRAR就可以轻松解决这个问题，因为它可以给压缩的文件打上标记。
　　右键点击要压缩的文件，在菜单中选择“添加到档案文件”，接着在弹出的窗口中把“设置用户身份校验”选中，然后点击“确定”按钮就可以了，如下图所示。这样在我们打开这个压缩文件时，在WinRAR窗口中点击菜单“工具→显示信息 ”，在信息窗口下面就可以看见“用户身份校验”信息，如果这个压缩文件被修改了，那用户身份信息也就会消失，这样就可以知道文件已经被修改了。

xiejinwu520

手动脱壳的七种基本方法
单步跟踪法：
1.OD载入，不分析代码。
2.近CALL—F7，远CALL—F8，实现向下的跳转。
3.有回跳处，下一句代码处—F4 （右键—代码断点运行到所选）
4.大的跳转（大跨段，JMP***或JE***或RETN），很快就会到OEP

ESP定律法：
1.F8，观察OD右上角寄存器中ESP有没有实现（红色）
2.命令行下 DD ******（当前代码ESP值），回车
3.DD就选中下端地址，断点—硬件访问—DWORD断点，F9运行，到跳转处按F8 到DEP

内存镜像法：
1.OD载入软件
2.点选项—调试选项—忽略全部—CTRL+F2重载
3.ALT+N打开内存镜像，找程序第一个.rsrc—F2下断—SHIFT+F9运行到断点，再打开找到程序第一个.rsrc上面的.code处（就是00401000处），F2下断—SHIFT+F9或无异常按F9，到OEP

一步到位OEP法：
只适合少数壳，如UPX，ASPACK
1.CTRL+F—输入：POPAD.回车查找—F2下断—F9运行到此处.
2.来到大跳转处，点F8到OEP.

最后一次异常法：
1.OD打开—点选项—调试选项—去掉所有异常—CTRL+F2重载.
2.SHIFT+F9.只到程序运行，记下次数M
3.CTRL+F2重载—按SHIFT+F9（次数为M-1次）
4.按CTRL+G—输入OE右下角的SE句柄前的地址.

模拟跟踪法：
无暗桩情况下使用
1.F9试运行，跑起来就无SEH暗桩之类的，否则就有.
2.ALT+N打开内存镜像，找到包含“=sfx,imports reloco tions”字符
3.地址=***  命令行输入:tceip<***,回车.

SFX法：
1.设置OD，忽略所有异常.
2.切换到SFX选项卡，选择“字节模式跟踪实际入口”，确定.
3.重载—“否”压缩代码，到OEP.

这只是脱壳的七种基本方法，只提供引导作用，其他的方法希望大家拓展。。。

UID1 帖子694 精华41 积分6476 威望值1023 矛盾点 金钱数3878 矛盾币 贡献点139 矛盾点 阅读权限255 性别男 在线时间256 小时 注册时间2008-8-24 最后登录2008-12-1 查看个人网站

查看详细资料

编辑用户

禁止用户
  引用 使用道具 报告 评分 回复 删除 屏蔽帖子 TOP

瞬间微笑

谢进武啊！你是不是没什么发的是吧？什么东西都发到这里来。

瞬间微笑

我真的不知道要说什么了，每次来这里看都没什么》

瞬间微笑

没劲，以后到底要不要来顶啊！

@forever@

是啊，都没什么说来的。还是不要来了

@forever@

顶一下喽！

林叶↓＾2468

装饰装潢好样！！！！！
我永远支持里们~~~~！！！！！

你们个个是人才！~~~

林叶↓＾2468

谢进武我支持你~~我挺你~~~~

装饰装潢班加油~~~~

我永远支持你~~~~~~~~~

林叶↓＾2468

支持一下~~
我永远支持谢进武，同样也支持你们装饰装潢班~~`

xiejinwu520

又添加新成员了袄

山哥哥

我明白过来了,现在所有没头像的全这样吧.?

山哥哥

没人帮装潢班顶下的.?
我麻是火来了.!

红剑之泪

:yy32现在看到啥ESP..断点啥的就头痛...