加壳 : 表示程序的 exe 被一层外壳保护,这层外壳是一些软件保护公司 (或一些高*) 设计出来的,可以把 exe包裹起来,在 exe 执行时提供保护,对抗破解者
爆破 : 意思是透过修改程序,来达到破解目的,主要方法包括,修改重要跳转指令 (jmp, jz, jzn, 等等)
花指令 : (junk code) 意思是程序中有一些指令,由设计者特别构思,希望使反汇编的时候出错,让破解者无法清楚正确地反汇编程序的内容,迷失方向。经典的是一些跳转指令,目标位置是另一条指令的中间,这样在反汇编的时候便会出现混乱。花指令有可能利用各种 jmp, call, ret, 一些堆栈技巧,位置运算,等等
SMC : (self-modifying code) 意思是自我修改的代码,使程序在运行时自我修改,用途包括:
- 使一些重要的跳转位置爆破无效化 (以 smc 对重要位置进行覆写)
- 使一些重要代码隐藏 (在必要时才实时产生重要代码段,防止程序被人静态分析,也防止一些透过搜寻的破解方法)
自校验程序 : 意思是这些程序会检查自己有没有被修改,如果发现被修改的话,便会离开或进行其它动作。基本的校检方法包括 checksum, 检查大小, 检查跳转代码,等等
自调试程序 : 意思是这些程序会扮演调试器的角色,调试自己重要的部份,让破解者无法用调试器进行破解 (因为一个程序只可以被一个程序调试)
SEH : (structured exception handling) 是一种处理程序异常的机制,当程序异常 (例如除零异常,非法存取异常,等等) 发生的时候,系统便会把执行位置切换到thread 的 exception handler。一些程序会透过 SetUnhandledExceptionFilter( ) 来设定 thread 的最高层异常处理 (代替 windows 提供的那一个错误信息),再制造异常,来达到扰乱调试的效果
RSA : 是一套加密技术 (public key infrastructure),它被广泛应用于各种层面,由一对密钥 (public key 和 private key) 的组合,提供安全的资料加密
Symmetric encryption : 对称加密,意思是加密和解密的 secret key 是相同的,例如 DES, AES, Blowfish
Asymmetric encryption : 非对称加密,是Symmetric encryption 的相反,例如 RSA
PE format : (Portable Executable) 意思是指 Windows 中 exe 的格式
IAT : (Import Address Table),是 PE 结构里重要的一部份,用途是存放 API 位置,让程序中的呼叫可以透过它的位置来使用各个系统API 和 dll 的 export functions。一个 exe 的 IAT 里是并没有实际位置的,这些位置由系统加载 exe 的时候实时填上
RVA : (Relative Virtual Addresses) 在 PE 格式中,有很多不同的区块需要定位,但是不可以指明一个绝对位置,所以 PE 里使用了 RVA。RVA 是一个相对于 Base address (基底位置) 的值,例如一个 PE 被载入到 0x400000,这个 PE 有一个区块的RVA 是 0x1000,那么这个区块在内存的实际位置便是 0x401000
VA : (Virtual Address) 内存虚拟空间中的一个位置,在 PE 描述中的意思是 : PE 被载入后,区块在内存的确实位置
Offset : 意思是偏移值,通常用于指明一个位置,它的用法是把一个基底位置加上 offset 值 (offset 可以是负数)。 例如我们说 : 一个资料结构在内存中的位置是 0x125000,它的 offset 0x10 处是用户名字, offset 0x14 是用户序号。在 PE 结构中, offset 通常用于指明在 exe 档案中的实际位置
dump : 意思是把内存中正在运行的 PE 整个抄下来,储存成另一个 exe file。这种做法可以把程序执行的某一刻保留,例如在 IAT 建立完成后。dump 是脱壳的一个基本步骤