dex文件加壳

Android Dex文件加壳原理 ：

1、加壳程序：加密源程序为解壳数据、组装解壳程序和解壳数据

2、解壳程序：解密解壳数据，并运行时通过DexClassLoader动态加载

3、源程序：需要加壳处理的被保护代码 根据解壳数据在解壳程序DEX文件中的不同分布，本文将提出两种Android Dex加壳的实现方案。 加壳程序工作流程：

1、加密源程序APK文件为解壳数据

2、把解壳数据写入解壳程序Dex文件末尾，并在文件尾部添加解壳数据的大小。

3、修改解壳程序DEX头中checksum、signature 和file_size头信息。

4、修改源程序AndroidMainfest.xml文件并覆盖解壳程序

AndroidMainfest.xml文件。

解壳DEX程序工作流程：

1、读取DEX文件末尾数据获取借壳数据长度。

2、从DEX文件读取解壳数据，解密解壳数据。以文件形式保存解密数据到a.APK文件

3、通过DexClassLoader动态加载a.apk。

当数据在解壳文件头中时，加壳程序工作流程：

1、加密源程序APK文件为解壳数据

2、计算解壳数据长度，并添加该长度到解壳DEX文件头末尾，并继续解壳数据到文件头末尾。（插入数据的位置为0x70处）

3、

DEX文件格式

0. 实验

$ vi test.java class test{

public static void main(String[] argc){ System.out.println(\ } }

$ javac test.java

$ dx --dex --output=test.dex test.class $ hexdump test.dex

0000000 6564 0a78 3330 0035 5eb4 4f7a 94e6 65f0 0000010 fb3e d5f3 e185 dd62 fce7 c887 a7ec 5329 0000020 02d8 0000 0070 0000 5678 1234 0000 0000 0000030 0000 0000 0238 0000 000e 0000 0070 0000 0000040 0007 0000 00a8 0000 0003 0000 00c4 0000 0000050 0001 0000 00e8 0000 0004 0000 00f0 0000 0000060 0001 0000 0110 0000 01a8 0000 0130

ZProtect加壳程序脱壳笔记

之前写了一个ZP的IAT加密方式分析，这里继续接着前面的文章，写一个ZProtect 加壳的程序的完整脱

壳笔记。

目标程序是一个用ZP二次加密的程序，可能是某位大侠的作品，小弟这里只是随手拿来做个演示，有什

么冒犯之处，敬请见谅。 目标程序在附件中。

运行一下程序，程序提示只能运行三次，每次只能运行十分钟，看来这个是要先干掉这个对话框再说了~ 写个lpk hook DialogBoxIndirectParam这个api 然后返回232C 即可。膜拜一下 卡卡大大强大的代码。

把这个lpk放在软件目录下就没有注册框了。现在可以OD载入了~

1，到OEP去

上次我的分析里面说了，如何最快到达OEP的方式 就是用ESP定律。

过了pushad以后，下Hr ESP 然后就到了。

查找FF25 发现壳没有处理IAT调用的代码，只是对IAT进行了加密，看来这个应该是1.4.0-1.4.4之间的

某个版本。 2，修复IAT

通过查找FF25 很容易确定IAT的位置。

1. 2. 3.

005A3190 00641378 店铺宝贝.00641378 005A3194 00641798 店铺宝贝.00641798 0

恶意代码加壳脱壳技术

张士豪

（中国人民公安大学 研究生部 北京 100038）

摘要：介绍了加壳脱壳技术的对象：PE可执行文件的结构以及各部分的功能，进而通过对恶意代码加壳、脱壳以及相关的壳技术包括壳分类、壳检测技术等的概述，揭示了加壳的恶意代码的工作原理，同时提出了对应的防护方法。着重提出了两种比较新的技术：分别是基于带权欧氏距离的脱壳过程以及基于SVM的实时加壳分类技术。 关键词：PE可执行文件；加壳；脱壳；恶意代码； 1. 引言

近些年来,随着恶意软件数量的急剧增加,给信息的安全性带来了巨大的威胁。这其中有很大一部分原因是由于恶意软件的保护机制逐渐增强,加壳等混淆技术的使用使得传统的依靠特征码扫描方式的查毒机制逐渐失效,因此亟需寻找新的方法来对恶意软件进行识别。而其中对恶意软件加壳的自动化识别是一个必要步骤,因为对可执行文件进行加壳是目前恶意软件的作者最常用的用来防止杀毒软件检测的混淆技术。在已知壳种类的前提下,许多通用的脱壳工具都能够有效的从加壳的可执行文件中检测和提取被混淆的原始代码,然后就可以应用传统的基于特征码扫描的反病毒检测软件找出隐藏的病毒。

2. PE文件概述

PE是portable executable的英文简称,可移

恶意代码加壳脱壳技术

张士豪

（中国人民公安大学 研究生部 北京 100038）

摘要：介绍了加壳脱壳技术的对象：PE可执行文件的结构以及各部分的功能，进而通过对恶意代码加壳、脱壳以及相关的壳技术包括壳分类、壳检测技术等的概述，揭示了加壳的恶意代码的工作原理，同时提出了对应的防护方法。着重提出了两种比较新的技术：分别是基于带权欧氏距离的脱壳过程以及基于SVM的实时加壳分类技术。 关键词：PE可执行文件；加壳；脱壳；恶意代码； 1. 引言

近些年来,随着恶意软件数量的急剧增加,给信息的安全性带来了巨大的威胁。这其中有很大一部分原因是由于恶意软件的保护机制逐渐增强,加壳等混淆技术的使用使得传统的依靠特征码扫描方式的查毒机制逐渐失效,因此亟需寻找新的方法来对恶意软件进行识别。而其中对恶意软件加壳的自动化识别是一个必要步骤,因为对可执行文件进行加壳是目前恶意软件的作者最常用的用来防止杀毒软件检测的混淆技术。在已知壳种类的前提下,许多通用的脱壳工具都能够有效的从加壳的可执行文件中检测和提取被混淆的原始代码,然后就可以应用传统的基于特征码扫描的反病毒检测软件找出隐藏的病毒。

2. PE文件概述

PE是portable executable的英文简称,可移

博时平衡配置混合型证券投资基金更新招募说明书2009年第2号

博时平衡配置混合型证券投资基金

更新招募说明书

2009年第2号

基金管理人：博时基金管理有限公司

基金托管人：中国工商银行股份有限公司

博时平衡配置混合型证券投资基金更新招募说明书2009年第2号

重要提示

本基金经2006年4月10日中国证券监督管理委员会证监基金字【2006】68 号文核准募集。

基金管理人保证招募说明书的内容真实、准确、完整。本招募说明书经中国证监会审核同意，但中国证监会对本基金作出的任何决定，均不表明其对本基金的价值和收益作出实质性判断或保证，也不表明投资于本基金没有风险。

基金管理人承诺以诚实信用、勤勉尽责的原则管理和运用基金资产，但不保证基金一定盈利，也不保证最低收益。

投资有风险，过往业绩并不代表将来业绩。基金管理人管理的其他基金的业绩并不构成新基金业绩表现的保证。投资者在办理基金业务时提交的资料信息须真实、有效。于交易日（T日）提交的申请，投资者应在T+2日到销售网点柜台或销售机构规定的其他方式查询申请的确认情况，投资者提交的申请经注册登记人确认（或不被确认）的后果由投资者承担。

投资者在认购（或申购）本基金前应认真阅读本招募说明书。

基金招募说明书自基金合同生效日起，每6

博时平衡配置混合型证券投资基金更新招募说明书2009年第2号

博时平衡配置混合型证券投资基金

更新招募说明书

2009年第2号

基金管理人：博时基金管理有限公司

基金托管人：中国工商银行股份有限公司

博时平衡配置混合型证券投资基金更新招募说明书2009年第2号

重要提示

本基金经2006年4月10日中国证券监督管理委员会证监基金字【2006】68 号文核准募集。

基金管理人保证招募说明书的内容真实、准确、完整。本招募说明书经中国证监会审核同意，但中国证监会对本基金作出的任何决定，均不表明其对本基金的价值和收益作出实质性判断或保证，也不表明投资于本基金没有风险。

基金管理人承诺以诚实信用、勤勉尽责的原则管理和运用基金资产，但不保证基金一定盈利，也不保证最低收益。

投资有风险，过往业绩并不代表将来业绩。基金管理人管理的其他基金的业绩并不构成新基金业绩表现的保证。投资者在办理基金业务时提交的资料信息须真实、有效。于交易日（T日）提交的申请，投资者应在T+2日到销售网点柜台或销售机构规定的其他方式查询申请的确认情况，投资者提交的申请经注册登记人确认（或不被确认）的后果由投资者承担。

投资者在认购（或申购）本基金前应认真阅读本招募说明书。

基金招募说明书自基金合同生效日起，每6

政府采购项目 文件编号：

竞争性谈判采购文件

二0一二年三月

第 1 页 共 38 页

目 录

第一部分 竞争性谈判采购公告

第二部分 竞争性谈判采购须知

第三部分 采购内容及技术要求

第四部分 施工图纸

第五部分 商务要求

第六部分 谈判采购响应文件格式

第 2 页 共 38 页

第一部分 竞争性谈判采购公告

采购受 的委托，按照政府采购程序，对其门诊楼屋顶加层工程采用竞争性谈判的方式进行采购，凡具备相应资质和能力的供应商均可参加，具体情况如下：

1、采购内容： 2、文件编号： 3、合格供应商条件：

3-1、供应商企业法人营业执照、税务登记证、组织机构代码证。 3-2、法定代表人授权书及被授权人身份证（法定代表人直接参加谈判，只须提交其身份证）；

3-3、房屋建筑工程施工总承包叁级及以上，钢结构工程专业承包叁级及以上资质（外省供应商须具有入市施工登记备案证书）；

3-4、安全生产许可证；

3-5、项目经理须具有二级及以上建造师资格。 以上要求均为必备资质。

4、文件图纸售价：人民币元整（￥元）。

文件发售时间：年月日至年月日

每天8：

政府采购项目 文件编号：

竞争性谈判采购文件

二0一二年三月

第 1 页 共 38 页

目 录

第一部分 竞争性谈判采购公告

第二部分 竞争性谈判采购须知

第三部分 采购内容及技术要求

第四部分 施工图纸

第五部分 商务要求

第六部分 谈判采购响应文件格式

第 2 页 共 38 页

第一部分 竞争性谈判采购公告

采购受 的委托，按照政府采购程序，对其门诊楼屋顶加层工程采用竞争性谈判的方式进行采购，凡具备相应资质和能力的供应商均可参加，具体情况如下：

1、采购内容： 2、文件编号： 3、合格供应商条件：

3-1、供应商企业法人营业执照、税务登记证、组织机构代码证。 3-2、法定代表人授权书及被授权人身份证（法定代表人直接参加谈判，只须提交其身份证）；

3-3、房屋建筑工程施工总承包叁级及以上，钢结构工程专业承包叁级及以上资质（外省供应商须具有入市施工登记备案证书）；

3-4、安全生产许可证；

3-5、项目经理须具有二级及以上建造师资格。 以上要求均为必备资质。

4、文件图纸售价：人民币元整（￥元）。

文件发售时间：年月日至年月日

每天8：

驱动桥壳设计

驱动桥壳的主要功用是支撑汽车质量，并承受由车轮传来的路面的反力和反力矩，并经悬架传给车架（或车身）；它又是主减速器、差速器、半轴的装配基体

驱动桥壳应满足如下设计要求：

1）应具有足够的强度和刚度，以保证主减速器齿轮啮合正常并不使半轴产生附加弯曲应力．

2）在保证强度和刚度的前提下，尽量减小质量以提高汽车行驶平顺性． 3）保证足够的离地间隙． 4）结构工艺性好，成本低．

5）保护装于其上的传动部件和防止泥水浸入． 6）拆装，调整，维修方便．

一．驱动桥壳结构方案分析

驱动桥壳大致可分为可分式、整体式

和组合式三种形式。

1．可分式桥壳

可分式桥壳(图5—29)由一个垂直接合面分为左右两部分，两部分通过螺栓联接成一体。每一部分均由一铸造壳体和一个压入其外端的半轴套管组成，轴管与壳体用铆钉连接。

这种桥壳结构简单，制造工艺性好，主减速器支承刚度好。但拆装、调整、维修很不方便，桥壳的强度和刚度受结构的限制，曾用于轻型汽车上，现已较少使用。

2．整体式桥壳

整体式桥壳(图5—30)的特点是整个桥壳是一根空心梁，桥壳和主减速器壳为两体。它具有强度和刚度较大，主减速器拆装、调整方便等优点。

按制造工艺不同，整体式桥壳可分为