脱壳的艺术

脱壳的艺术

Mark Vincent Yason

概述：脱壳是门艺术——脱壳既是一种心理挑战，同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧，逆向分析人员有时不得不了解操作系统的一些底层知识，聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者，也牵涉到那些决心躲过这些保护的脱壳者。

本文主要目的是介绍壳常用的反逆向技术，同时也探讨了可以用来躲过或禁用这些保护的技术及公开可用的工具。这些信息将使研究人员特别是恶意代码分析人员在分析加壳的恶意代码时能识别出这些技术，当这些反逆向技术阻碍其成功分析时能决定下一步的动作。第二个目的，这里介绍的信息也会被那些计划在软件中添加一些保护措施用来减缓逆向分析人员分析其受保护代码的速度的研究人员用到。当然没有什么能使一个熟练的、消息灵通的、坚定的逆向分析人员止步的。

关键词：逆向工程、壳、保护、反调试、反逆向

1简介 在逆向工程领域，壳是最有趣的谜题之一。在解谜的过程中，逆向分析人员会获得许多关于系统底层、逆向技巧等知识。

壳（这个

篇一：苏教版 金蝉脱壳教学设计

苏教版 金蝉脱壳教学设计

教学目标：

1．学会本课10个生字，理解由生字组成的词语。以上内容源自小精灵儿童网站

2．能正确、流利、有感情地朗读课文，背诵第四、五自然段。

3．理解课文内容，感受金蝉脱壳的神奇，从而激发学生乐于观察周围的事物的兴趣。

教学重点：

感受金蝉脱壳的神奇。

教学难点：

激发学生乐于观察周围的事物的兴趣。

教学准备：

1．课文内容的投影片。

2．蝉的资料。

教学时间：2课时

第一课时

教学目标：

1．学会本课生字，理解由生字组成的词语。

2．正确、流利、有感情地朗读课文。

3．了解金蝉脱壳的起因。

教学重点：

正确、流利、有感情地朗读课文。

教学难点：

了解金蝉脱壳的过程。

教学过程：

一、谈话导入

1．板书课题：金蝉脱壳。齐读课题。

2．设问：听说过“金蝉脱壳”这个成语吗？说说你的理解。

3．讲故事：三十六计“金蝉脱壳”。

二、初读课文

1．听课文录音，思考：课文中“金蝉脱壳”主要讲什么？

2．生自读课文，画出生字词，读准字音。

①出示生字词。②指名逐自然段朗读。

3．默读课文。

第一部分（1-2）写叔叔的话激起了“我”的好奇心，“我”决心揭开金蝉脱壳的秘密。以上内容源自小精灵儿童网站

第二部分（3-6）写金蝉脱壳的过程奇特动人。

第三部分（7）写蝉儿趴在

知了~知了~”，在夏日，大家经常会听见蝉在鸣唱。也许有人会认为很烦，但是你要知道，它们能登上树梢大声鸣唱，可真不容易。

在大尖山的深处，我发现了一只正在脱壳的蝉，并目睹了它脱壳的全程。

那是一只灰褐色的蝉的幼虫，它浑身脏兮兮灰扑扑，也不知道从哪里钻得一身这么狼狈。后来妈妈告诉我，蝉的幼虫要在地底下吃树根的汁液，积累几年的能量，才能钻出泥地来到树上脱壳。

我屏息凝神地看了一会儿，只见壳的背部裂开了一条缝，露出了里面的蝉背竟然是翠玉一样美丽的颜色！随即，它用力地拱起背，将那条缝撑得越来越大，越来越大啊，它成功了，它的上半身脱了出来。

过了一会儿，它做了一个惊人的动作，它用两只前爪撑着壳，用力将尾巴抽了出来！这不，因为动作幅度太大，它的身体在空中做作文了一个短暂倒立！

接下来，它就开始晾翅榜了，它趴在壳上一动也不动，就像一个玉佩。过了一会儿，它原本小小的、卷曲的翅膀舒展开了一点，但还是很脆弱。十几分钟过后，它的翅膀伸直了，隐约能见到翅膀上的纹路。又是十几分钟过去了，它的翅膀完全晾干了，晶莹剔透，仿佛长长的纱裙。

只听唰”的一声，蝉迎着晨光展开了翅膀，向远处飞去，越飞越远，越飞越远

蝉留下来的壳，经过风吹雨打，依然牢牢的留在树干上，如果你要

篇一：非常嫌疑犯 影评

非常嫌疑犯 影评 不容易看懂的狡猾电影

2008年04月23日 星期三

13:27

中文名称：非常嫌疑犯

英文名称：The Usual Suspects

资源类型：HDTVRip

发行时间：1995年

导 演： 布莱恩·辛格 Bryan Singer

主 演： 凯文·斯帕西 Kevin Spacey

斯蒂芬·鲍尔文 Stephen Baldwin

加布里埃尔·拜恩 Gabriel Byrne

丹·哈达娅 Dan Hedaya

皮特·波斯尔思韦特 Pete Postlethwaite

苏吉·埃米斯 Suzy Amis

保罗·巴特尔 Paul Bartel

本尼西奥·德托罗 Benicio Del Toro

上 映： 1995年07月19日 ( 法国 )更多地区

地 区： 美国 德国 ( 拍摄地 )

对 白： 英语 法语 西班牙语

评 分： 8.7/10( 89505票 )

颜 色： 彩色

时 长： 106 分钟

类 型： 犯罪 惊悚 悬念

剧情梗概：

美国加州的圣佩雷罗港一艘货轮爆炸，死亡27人，近一亿美元失踪。海关官员库科和联邦调查局探员贝尔分头破案。幸存者金特供认，基顿、麦克马纳斯、芬斯特和霍克内以及他本人，曾被警察局作为卡车抢劫案的疑犯带到拘留所里过了一夜。事后，

第16课 手动脱壳的常规方法

手动脱壳主要分为三大步骤（你可以将其想像为程咬金的三板斧）：①寻找入口点（OEP）、②转储（Dump）程序、③修复输入表（Import Table）。对于复杂的加密壳，还需要在①②之间再加上一个步骤：寻找魔力跳（Magic Jump）。

直接跟踪法

直接跟踪法的基本原则为：

1.时刻把自己想像成中国象棋中的“兵”或“卒子”，只准前进，不准后退。一旦往回跳，则在程序的下一行按F4，继续向下走（解释：F4——运行到指定行）。

2.一般情况下，一路按F8走。一旦追踪的过程中，目标程序运行起来，宣告脱壳失败。则需要重新来过，通常的术语被称为“程序跑飞”。 3.注意识别变形call（其实质是一种变形的jmp）。不能直接F8带过，会跑飞。这种情况下应该按F7。判断的方法是它所call的地址和它自身所在的当前行地址极其接近，感觉离得不远，像近房亲戚、孪生兄弟或姐妹。

4.遇到在循环中跑来跑去时，要想办法跳出循环圈。时刻留意其中一些跳的比较远的跳转，可以ctrl＋G，直接到那个位置；或者按F2设断，F9或点

按钮，断下后再F2取消断点。

〔例1〕 目标程序：UnPackMe_EZIP1.0.exe。壳为ezip1.0。

程序载入后

大自然中有很多有趣的事物，其中我发现的金蝉脱壳也是一种有趣的现象。

一个夏天的傍晚，我在小区的一棵大树上捉蝉，我在树上发现一种金黄色透明的壳。我拿回去给妈妈看，妈妈说：这是金蝉的壳，每当傍晚的时候，蝉虫会爬到树荫底下，脱下旧壳，换上新壳。”我听完后，心里非常好奇，决心要亲眼看一看。

一天傍晚，我写完作业，准备去散步，突然看见树上有一个金黄色的物体。我走过去仔细一看，呀！这不是一只蝉虫吗？我想起了妈妈之前说作文过的话，决定看看金蝉是怎样脱壳的。

金蝉开始脱壳了，首先它把身子抖了抖，背上的旧壳出现一条缝隙，露出了新壳来；接着它又抖了几下，头也露了出来，六只足也跟着露了出来；然后金蝉向前跳了几下，又向后跳了几下，再用六只足抓住壳，使劲一抽，又白又嫩的蝉尾就露了出来；最后蝉虫使出全身力气用力一抖，旧的蝉壳被抖了下来。

我赶紧用手接住蝉壳，望着手里的蝉壳，我想：金蝉脱壳可真有趣。大自然中还有更多很有趣的事等着我去发现呢！

[Android]腾讯应用加固的脱壳分析和修复 By ZzAge 0x1:

腾讯云加固:http://www.qcloud.com/product/appup.html

加固示例原版APK:http://pic.hzt360.com/downfile/beijing/elechongNFC.apk

a,首先，看一下原APK和通过腾讯云应用加固后的文件相关变化

加固后的文件列表变化: 新增2个so文件： libmain.so libshell.so 修改:

AndroidManifest.xml classes.dex

b, 用ApkTool反编译加固后的APK, 出现反编译不过去，错误日志如下: 1.通过下面日志能看出来是apktool解析AndroidManifest.xml时出错，注意绿色下划线的name=fasten，这里TX加固是利用android系统解析axml的一个特点来导致apktool反编译时，在解析AndroidManifest.xml时出错。

关于利用AndroidManifest.xml这块的技术点可以参考一下万抽抽大神的文章：http://www.cnblogs.com/wanyuanchun/p/4084

《金蝉脱壳》说课稿 一、说教材

《金蝉脱壳》是九年义务教育小学第九册的一篇课文，本课极其生动地介绍了金蝉脱壳的过程，展示了那奇特动人的情景，启发人们留心观察周围事物。全文共7个自然段，可分为3段。第一段是第一、第二自然段，写叔叔们的话激起了“我”的好奇心，“我”决心要揭开金蝉脱壳的秘密。第二段是第三至第六自然段，写金蝉脱壳的过程很奇特动人。整个过程分脱壳前（第三自然段）、脱壳中（第四自然段）、脱壳后（第五自然段）。脱壳前是蝉自己爬上树，找一个皮裂口处，停着不动准备脱壳。脱壳时，蝉虫身体各部位分先后出来，顺序是背——头——脚——尾，整个劝作配合得自然协调。脱壳后变化最大的是翅膀与颜色。

第三段是第七自然段，写蝉儿趴在树上，准备新的歌唱生涯。本课记叙脉络清楚，金蝉脱壳的过程写得非常细致、生动，适合引导学生阅读想象，同时又易于学生的迁移运用。根据教材的特点、学生的实际情况、编者的意图我确定如下教学目标。

教学目标：

1、能正确、流利、有感情地朗读课文，在学习中学会默读,初步掌握边读边想,谈自己感受的学习方法.培养在交流和讨论中,敢于表达自己见解的能力.背诵第四、五自然段。

2、理解课文内容，感受金蝉脱壳的神奇，从而激发学生乐于观察周围事物的兴趣。

3、借课文内

金蝉脱壳说课稿编写人：

日期：

Word A4打印标准格式可随意修改

金蝉脱壳说课稿

篇一：金蝉脱壳说课稿

“说”------教师说课技能训练记录（模板）

年月日

篇二：小学五年级上册金蝉脱壳说课稿

《金蝉脱壳》说课稿

尊敬的各位老师：

下午好！今天我说课的内容是苏教版小学语文五年级上册的《金蝉脱壳》。

课文极其生动地介绍了金蝉脱壳的过程，展示了那奇特动人的情景，启发人们留心观察周围事物。本课脉络清楚，金蝉脱壳的过程写得细致生动，是一篇适合学生阅读，丰富学生想象，又易于学生迁移运用的好素材。

根据教材特点和学生的实际情况，结合新课标“全面提高学生的语文素养”这一理念，我将本课的教学目标定为：

1.能正确、流利、有感情地朗读课文，背诵4、5两段。

2.会读、会写、会用本课9个生字，会认一个二类字。理解由生字组成的词语。

3.理解课文内容，感受金蝉脱壳的神奇，激发学生乐于观察事物的兴趣。这一个教学目标既是本课教学的重点，又是教学难点。

科学的教学方法能使教学高效，教与学达到和谐统一。因此，我将选用“创设情境法”“以读代讲法” “讨论法”、“朗读法”“合作探究法”来组织教学。

为了达成以上教学目标，我准备用两课时来完成教学任务。

我的教学过程分为以下五个环节：

一）揭题导入，激发情感

ZProtect加壳程序脱壳笔记

之前写了一个ZP的IAT加密方式分析，这里继续接着前面的文章，写一个ZProtect 加壳的程序的完整脱

壳笔记。

目标程序是一个用ZP二次加密的程序，可能是某位大侠的作品，小弟这里只是随手拿来做个演示，有什

么冒犯之处，敬请见谅。 目标程序在附件中。

运行一下程序，程序提示只能运行三次，每次只能运行十分钟，看来这个是要先干掉这个对话框再说了~ 写个lpk hook DialogBoxIndirectParam这个api 然后返回232C 即可。膜拜一下 卡卡大大强大的代码。

把这个lpk放在软件目录下就没有注册框了。现在可以OD载入了~

1，到OEP去

上次我的分析里面说了，如何最快到达OEP的方式 就是用ESP定律。

过了pushad以后，下Hr ESP 然后就到了。

查找FF25 发现壳没有处理IAT调用的代码，只是对IAT进行了加密，看来这个应该是1.4.0-1.4.4之间的

某个版本。 2，修复IAT

通过查找FF25 很容易确定IAT的位置。

1. 2. 3.

005A3190 00641378 店铺宝贝.00641378 005A3194 00641798 店铺宝贝.00641798 0