windowspe壳工具_winpe 工具
1.怎么判断一个程序使用什么语言写的
2.如何修改EXE文件?
3.所谓软件的壳有哪几种?
4.windowsPE是什么意思?
5.WIN PE 系统 作用及用途
6.请问查壳软件PEID中的PE是什么意思?是那个英文的缩写?
7.peid查壳中EP区段是什么意思?
Windows PE
Windows PreInstallation Environment(Windows PE)直接从字面上翻译就是“Windows预安装环境”,微软在2002年7月22日发布,它的原文解释是:“Windows预安装环境(Windows PE)是带有限服务的最小Win32子系统,基于以保护模式运行的Windows XP Professional内核。它包括运行Windows安装程序及脚本、连接网络共享、自动化基本过程以及执行硬件验证所需的最小功能。”换句话说,你可把Windows PE看作是一个只拥有最少核心服务的Mini操作系统。微软推出这么一个操作系统当然是因为它拥有与众不同的系统功能,如果要用一句话来解释,我认为与Win9X/2000/XP相比,Windows PE的主要不同点就是:它可以自定义制作自身的可启动副本,在保证你需要的核心服务的同时保持最小的操作系统体积,同时它又是标准的32位视窗API的系统平台。当然,现在这么说也许难以理解,没有关系,下面让我们来仔细研究它。
Windows PE概览
即使有刚才的解释,你一定还是对这个全新概念的Mini操作系统一头雾水,没关系,在这里我将演示一下其运行的全过程,相信看过之后你或许就会有大致的了解。大多数人获得的Windows PE光碟(包括我手上这张ISO镜像光碟)应该是一张“Windows XP OPK”CD,意思就是Windows XP OEM预安装工具包CD。实际上,Windows XP OPK CD是Windows PE 32位版本的一个可引导副本,也就是说,这张CD已经是个用Windows PE定义制作的操作系统了,我们可直接用它来引导系统。先看看这张CD的目录结构吧,总共有352MB,是不是有些大呢?其实由于这是个副本(至少包含了不少驱动程序),大小是由当时自定义制作决定的,若是Windows PE的32位非自定义版本,其在磁盘上的镜像大约为120MB。
1.引导Windows PE
笔者考虑到网络环境等问题,主要的使用环境是VMware虚拟机和Virtual PC虚拟机,不过这两种虚拟机环境与实际PC环境几乎没有区别(就是说如果你不清楚虚拟机也没关系,就当是在真实PC上直接运行)。
将BIOS中设置成光驱引导,并开始启动系统,当屏幕画面上出现“Press any key boot from cd”时,按任意键从光驱上的Windows PE引导启动。如果你的存储设备驱动不被支持,在启动时按下F6键可加载特殊设备的驱动。当启动到桌面时系统会做一些如调整分辨率的工作,最后打开默认的CMD命令行解释工具,大家看看,是货真价实的图形操作环境哦。
可以看到桌面上空空如也,不要指望可以拿鼠标点来点去,毕竟是个什么应用程序都没有安装;另外尽管光碟上带有的可执行的命令行工具有限,但明显可以自己添加,看看这是什么?没错,是我们最熟悉的扫雷游戏(现在知道题头所指了吧,呵呵),拿鼠标先玩玩吧,这是笔者从大家熟悉的WinXP操作系统中加入的(方法很简单,用ISO工具直接拷入刚才的镜像文件就可以了)。
那么还是先回到CMD命令行工具中吧。默认的目录是\I386\system32\,输入命令行“dir *.exe /w”可查看有哪些可运行的程序。下面我们实际研究一下对个人用户有实际意义的Windows PE特性的操作。
在光碟镜像中可同时看到32位和64位操作系统的工具,对于个人用户来讲,你可用它直接引导没有安装任何系统的机器,并在其上实现32位系统的许多功能,这在后面会一一道来。
2.Windows PE对网络的支持
刚才dir时我们看到了ping命令,熟悉这个命令的读者应该都知道,只有安装了TCP/IP协议才能使用,那么不管三七二十一,先来ping自己试试吧,在CMD中键入“ping 127.0.0.1”,回车搞定,显然是可ping通的,这证明TCP/IP协议确实已在运行。再试一试光碟上另一个命令IPConfig,键入运行,看到IP地址已经自动分配好了。既然网络确实已经连接,那让我们来实际操作使用吧(这里可能有不少从视窗系统开始接触计算机的朋友会对操作不知所措,其实并没有想象中那么困难,你可以在CMD中使用命令工具带“/?”参数来查询具体使用方法,如果你机器上本来就装有XP,那么在帮助中心查询就更方便了,多实验一下,掌握命令行以后你会发现方便很多)。
现在我的物理机和虚拟机构成了一个虚拟网络,使用光碟镜像中的net命令,在虚拟机中键入“net view”查看已连接的服务器,这里显示的服务器“XQ-B6QAS26953 EC”,名字表示虚拟机已通过网络连接了我的物理机器。我的物理机器上有一个名为TUKU的文件夹已经共享,所以再键入“net use e:\XQ-B6QAS26953EC\TUKU”,意思是将物理机器上的共享目录TUKU镜像为虚拟机器上的E盘,成功后可在虚拟机里自由地访问共享目录,这时就可通过这个来做远程安装等工作。net命令还有不少参数,自己可以查阅并多加尝试,才可以发挥Windows PE强大的网络环境功能,如果只是简单地访问服务器,上面的两个命令参数基本足够了。不过这里要记住用Windows PE的机器可访问其他操作系统的机器,而逆操作是不能的,这是由于Windows PE本身的限制,我们后面再讲这个问题。事实说明,Windows PE启动后就可以使用网络环境。
3.利用Windows PE创建、删除、格式化和管理NTFS文件系统分区
对于个人用户来说这个功能很是实用和方便。但不少朋友在dir完以后就叫苦,怎么只有format,没有fdisk啊,根本没办法分区嘛。其实这是个误解,Windows XP中针对磁盘管理工作有专用的命令行工具DiskPart.exe,它是一种文本模式命令解释程序,能让你通过使用脚本或从命令提示符直接输入来管理对象(磁盘、分区或卷),Windows PE使用的当然也是DiskPart。
在CMD模式下键入“diskpart”并回车进入DiskPart命令行解释。键入“list disk”,显示有两块硬盘,分别为磁盘0和磁盘1。键入“select disk=0”执行,意思是选择指定磁盘,并将焦点转移到此磁盘,接下来的操作就都是针对它的(后面的操作都是一样,在磁盘、分区或卷上使用DiskPart命令前,必须首先将对象列表,然后选择要给予焦点的对象,只有对象拥有焦点时,键入的任何DiskPart命令才对该对象进行操作)。键入“detail disk”可以查看磁盘0的细节信息,现在磁盘0整个是一个活动分区C,格式为FAT32,容量为16G。下面我们以实际操作将磁盘0分为两个区,分别为NTFS格式的8G主分区C和FAT32格式8G逻辑分区D,而将磁盘1整个转为FAT32格式的分区E来演示Windows PE对磁盘的管理操作:
(1)执行“select disk=0”,将焦点转到磁盘0。执行“select partition 1”,将焦点转到磁盘0的分区活动C上面。
(2)执行“delete partition”将原来的分区C删除。
(3)执行“create partition primary size=8000”回车,在磁盘0上建立一个新的8000MB的主分区,焦点会自动转到新建立的分区上。
(4)接着执行“create partition extended”回车,将磁盘0上剩余的磁盘空间建立为扩展分区。
(5)完成上一步后再执行“create partition logic”回车,将刚建立的扩展分区创建为一个逻辑分区。
(6)至此,我们就已经把原来一个活动分区C的磁盘0创建为有一个主分区和一个逻辑分区了,不过这两个分区还没有驱动器号,执行“select partition 1”将焦点转到主分区1,然后执行“assign letter=C”,将驱动器号C:分配给主分区。执行“active”回车将主分区设为活动使其可以引导系统。
(7)接下来执行“select partition 3”将焦点转到逻辑分区,执行“assign”回车,意思是系统将下一个可用的驱动器号分配给逻辑分区,由于驱动器号D、E均被占用(D为磁盘1分区占用,E为光驱占用),所以系统将F分配给了逻辑分区。不过没关系,我们先不管驱动器号的顺序,到这里我们对磁盘0的操作就结束了,剩下的目标是将磁盘1的活动分区D转换为分区E。
(8)执行“select disk 1”将焦点转到磁盘1,执行“select partition 1”将焦点转到活动分区D。
(9)由于磁盘1的D分区是活动的主分区,所以设其驱动器号为E,显然是要将它重新建立为一个非主分区的驱动器,那么它就不会占据驱动器号D而将它让给磁盘0的逻辑分区了。执行“delete partition”删除原来分区D,执行“create partition extended”将磁盘1上所有的磁盘空间建立为扩展分区。
(10)完成上步后再执行“create partition logic”将刚建立的扩展分区创建为一个逻辑分区。
(11)最后执行“assign”自动分配驱动器号,系统仍然把D分配给了它(不过在机器重新启动后系统会自动调整将D分配给磁盘0的逻辑分区,磁盘1的逻辑分区会使用驱动器E,而光驱就顺延到F了,重启一次系统这些改变都会自动实现)。
(12)现在我们对机器上硬盘的重新分区工作就结束了,执行“exit”退出DiskPart命令行解释工具,然后执行“format c: /fs:ntfs”,将刚才建立的DISK 0主分区格式化为NTFS文件格式的分区,同理执行“format d: /fs:fat32”、“format f: /fs:fat32”将分区D、F格式化,我们最终的操作就完成了。
(13)完成后执行“exit”重新启动机器,可以再次进入“DiskPart”来查看分区情况是否正确。
上面的操作基本包括了对磁盘的创建、删除、格式化和管理,如果你再仔细读读帮助说明,保证你在掌握它强大的功能以后不再想使用Fdisk去管理磁盘。实际上你如果在使用Windows XP,这些知识都非常实用。此外“DiskPart”工具最方便的地方是支持脚本,在这里就不详细说明了。
上面我们已经将Windows PE特性的基本操作都实践了一下,应该可以体会到Windows PE对个人的方便之处,但是就像上文所说的那样,Windows PE只是有限功能的Mini操作系统,要正确使用Windows PE,当然也要了解它的一些限制。
1.为了防止将它用作盗版操作系统,在连续使用24小时后Windows PE将自动退出并重启。
2.你可从Windows PE计算机通过网络直接访问服务器和共享。但不能从网络上的另一个位置访问Windows PE计算机上的任何文件或文件夹。Windows PE通过TCP/IP及其上的NetBIOS获得到达文件服务器的网络连接,不支持其他方法(如IPX/SPX网络协议)。
3.因为涉及反盗版,所以只能从Windows XP Professional CD建立Windows PE的自定义版本。而不能从Windows XP Home Edition或Windows 2002 Server操作系统家族的任何成员建立。
4.Windows PE太大,不能放在软盘上。Windows PE仅包括可用Win32 API的子集(包括I/O(磁盘和网络)和核心Win32 API)。如果Win32下运行的服务基于Win32 API子集,则它在Windows PE是否可用需具体分析。这里不详细列出Windows PE不支持的API了,反正rundll32.exe和shell.dll等是不被支持的,想要在Windows PE下面玩Quake的朋友还是趁早放弃。
Windows PE的作用
不少朋友看到这儿无论是否有收获,肯定都会想Windows PE到底对自己有什么明确的作用,这里不妨总结一二。
1.方便易用的启动工具盘
通过刚才的叙述,大家可以看出,Windows PE启动相当快捷,而且对启动环境要求不高;最可贵的是,虽然名为启动盘,其功能却几乎相当于安装了一个Windows XP的“命令行版本”——别忘了网络支持哦。因此,对于个人计算机用户,只要将其刻录在一张光碟上,便可放心地去解决初始化系统之类的问题;而对小型网络环境(如网吧等)用户来说,这一功能尤其实用。
2.有趣的硬盘使用功能
自定义的Windows PE不仅可放到那些可移动存储设备如CD上,还可以放在硬盘上使用。因为许多朋友会认为将Windows PE的自定义版本放在硬盘上没有什么意义,其实不然。把Windows PE放在硬盘上应该是最为有趣的地方,且不说你的操作系统损坏无法进入的情况下启动硬盘上的Windows PE可以方便地修复,关键是由于Windows PE在硬盘上,所以在Windows PE环境下安装应用程序就有了可能。呵呵,撇开题外话不讲,这里看一下如何把自定义的Windows PE放到硬盘上吧(只能在硬盘上放置Windows PE的32位版本)。
首先要安装恢复控制台:
(1)将Windows XP Professional CD放在CD-ROM驱动器中,这里指定其为cd_drive。
(2)在命令行CMD窗口中运行cd_drive\i386\winnt32.exe /cmdcons。
然后将Windows PE自定义可引导副本放置在硬盘上,如下操作:
(1)在目标硬盘上,创建“C:\Minint”的目录(这里必须将目录命名为“Minint”)。
(2)将Windows PE“根目录\i386”下的所有内容复制到C:\Minint。
(3)从Windows PE根目录下将Winbom.ini复制到目标硬盘的根目录。
(4)在目标硬盘上,将“C:\Cmdcons\txtsetup.sif”的只读属性改为读/写。
(5)在目标硬盘上,将“C:\Minint\txtsetup.sif”复制到“C:\Cmdcons”进行覆盖。
(6)重新启动目标计算机。在“引导”菜单上,选择引导到“命令控制台”,计算机将使用Windows PE引导。
3.Windows XP OPK CD的本职工作
上面说了其实我们拿到的是Windows PE的一个可执行副本,即Windows XP OPK(Windows XP OEM预安装工具包)CD。从名字都知道它原来的本职工作是为了方便OEM工作的。如果你在Windows操作系统环境下打开光碟,它就会自动运行Autorun为你的系统安装一个“Windows安装管理器”的工具包。利用它,你可以轻易制造出带有计算机厂商OEM标志的Windows安装镜像。虽然这是Windows XP OPK CD的主要本职工作,但显然对我们个人没什么意义,当然,如果你想把手上的Windows安装CD都打上自己独有的印记,并在朋友的机器上安装时炫一下,那么使用它是个好主意。当然自己的“印记”绝非OEM标志那么简单,实际上你还可任意设定Windows PE携带的软件,并可设置这些软件在Windows PE启动时运行;理想的情形下你甚至可以为自定义的Windows PE版本加上类似于Windows Explorer的图形外壳程序——要不怎么叫专为厂商OEM设计呢?
参考资料:
怎么判断一个程序使用什么语言写的
适用于Windows10的WindowsPE(WinPE)是一个小型操作系统,用于安装、部署和修Windows10桌面版(家庭版、专业版、企业版和教育版)、WindowsServer2016TechnicalPreview和其他Windows操作系统。
通过WindowsPE,可以:(推荐学习:PHP教程)在安装Windows前设置你的硬盘。使用来自网络或本地驱动器的应用或脚本安装Windows。捕获和应用Windows映像。在Windows操作系统不运行时,对它进行修改。设置自动恢复工具。从不可启动的设备中恢复数据。添加自己的自定义外壳程序或GUI来使此类任务自动化。
WindowsPE运行Windows命令行环境,并支持批处理文件和脚本,包括对Windows脚本主机(WSH)和ActiveX数据对象(ADO)的支持,以及对PowerShell的选择支持。应用程序,包括Win32应用程序编程接口(API),以及对HTML应用程序(HTA)的选择支持。驱动程序,包括一组用于运行网络、图形和大容量存储设备的通用驱动程序。映像捕获和服务,包括部署映像服务和管理(DISM)。网络,包括通过LAN使用TCP/IP和TCP/IP上的NetBIOS连接到文件服务器。存储,包括NTFS、DiskPart和BCDBoot。安全工具,包括对BitLocker和受信任的平台模块(TPM)、安全启动以及其他工具的选择支持。Hyper-V,包括VHD文件、鼠标集成、大容量存储以及允许在虚拟机监控程序中运行WindowsPE的网络驱动程序。
如何修改EXE文件?
使用查壳工具PEID 。
PEiD是很好用的查壳工具,可以很简单的知道软件是不是加了壳,有了这个PEiD ,几乎可以侦测出软件所有的壳,其数量已超过470 种PE文档 的加壳类型和签名,另外PEiD还可识别出exe文件是用什么语言编写的,比如:VC++、Delphi、VB或Delphi等。
peid功能介绍
1、正常扫描模式:PEiD可在PE文档的入口点扫描所有记录的签名。
2、深度扫描模式:可深入扫描所有记录的签名,这种模式要比上一种的扫描范围更广、更深入。
3、核心扫描模式:PEiD可完整地扫描整个PE文档,建议将此模式作为最后的选择。
扩展资料
PEID的主要模块:
1、任务查看模块:可以扫描并查看当前正在运行的所有任务和模块,并可终止其运行;
2、多文件扫描模块:可同时扫描多个文档。选择“只显示PE文件”可以过滤非PE文档;选择“递归扫描”可扫描所有文档,包括子目录。
3、Hex十六进制查看模块:可以以十六进制快速查看文档。
所谓软件的壳有哪几种?
exe文件信息一般不能直接更改,因为是编译好的,并且一般都加了壳。
想改的话,得用脱壳了吧。不同的文件有可能用了不同的软件加了壳。
用各类脱壳工具测试并脱壳后,再反编译,有可能得到相关文件信息并更改。
(一)壳的概念
作者编好软件后,编译成exe可执行文件。 1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名,即为了保护软件不被破解,通常都是用加壳来进行保护。 2.需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩, 3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能,这些软件称为加壳软件。
(二)加壳软件最常见的加壳软件ASPACK ,UPX,PEcompact 不常用的加壳软件WWPACK32;PE-PACK ;PETITE NEOLITE
(三)侦测壳和软件所用编写语言的软件,因为脱壳之前要查他的壳的类型。 1.侦测壳的软件fileinfo.exe 简称fi.exe(侦测壳的能力极强) 2.侦测壳和软件所用编写语言的软件language.exe(两个功能合为一体,很棒) 推荐language2000中文版(专门检测加壳类型) 3.软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC)
(四)脱壳软件。 软件加壳是作者写完软件后,为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具,当然有盾,自然就有矛,只要我们收集全常用脱壳工具,那就不怕他加壳了。软件脱壳有手动脱和自动脱壳之分,下面我们先介绍自动脱壳,因为手动脱壳需要运用汇编语言,要跟踪断点等,不适合初学者,但我们在后边将稍作介绍。
加壳一般属于软件加密,现在越来越多的软件经过压缩处理,给汉化带来许多不便,软件汉化爱好者也不得不学习掌握这种技能。现在脱壳一般分手动和自动两种,手动就是用TRW2000、TR、SOFTICE等调试工具对付,对脱壳者有一定水平要求,涉及到很多汇编语言和软件调试方面的知识。而自动就是用专门的脱壳工具来脱,最常用某种压缩软件都有他人写的反压缩工具对应,有些压缩工具自身能解压,如UPX;有些不提供这功能,如:ASPACK,就需要UNASPACK对付,好处是简单,缺点是版本更新了就没用了。另外脱壳就是用专门的脱壳工具来对付,最流行的是PROCDUMP v1.62 ,可对付目前各种压缩软件的压缩档。在这里介绍的是一些通用的方法和工具,希望对大家有帮助。我们知道文件的加密方式,就可以使用不同的工具、不同的方法进行脱壳。下面是我们常常会碰到的加壳方式及简单的脱壳措施,供大家参考: 脱壳的基本原则就是单步跟踪,只能往前,不能往后。脱壳的一般流程是:查壳->寻找OEP->Dump->修复 找OEP的一般思路如下: 先看壳是加密壳还是压缩壳,压缩壳相对来说容易些,一般是没有异常,找到对应的popad后就能到入口,跳到入口的方式一般为。 我们知道文件被一些压缩加壳软件加密,下一步我们就要分析加密软件的名称、版本。因为不同软件甚至不同版本加的壳,脱壳处理的方法都不相同。
常用脱壳工具: 1、文件分析工具(侦测壳的类型):Fi,GetTyp,peid,pe-scan, 2、OEP入口查找工具:SoftICE,TRW,ollydbg,loader,peid 3、dump工具:IceDump,TRW,PEditor,ProcDump32,LordPE 4、PE文件编辑工具PEditor,ProcDump32,LordPE 5、重建Import Table工具:ImportREC,ReVirgin 6、ASProtect脱壳专用工具:Caspr(ASPr V1.1-V1.2有效),Rad(只对ASPr V1.1有效),loader,peid(1)Aspack: 用的最多,但只要用UNASPACK或PEDUMP32脱壳就行了 (2)ASProtect+aspack:次之,国外的软件多用它加壳,脱壳时需要用到SOFTICE+ICEDUMP,需要一定的专业知识,但最新版现在暂时没有办法。 (3)Upx: 可以用UPX本身来脱壳,但要注意版本是否一致,用-D 参数 (4)Armadill: 可以用SOFTICE+ICEDUMP脱壳,比较烦 (5)Dbpe: 国内比较好的加密软件,新版本暂时不能脱,但可以破解 (6)NeoLite: 可以用自己来脱壳 (7)Pcguard: 可以用SOFTICE+ICEDUMP+FROGICE来脱壳 (8)Pecompat: 用SOFTICE配合PEDUMP32来脱壳,但不要专业知识 (9)Petite: 有一部分的老版本可以用PEDUMP32直接脱壳,新版本脱壳时需要用到SOFTICE+ICEDUMP,需要一定的专业知识 (10)WWpack32: 和PECOMPACT一样其实有一部分的老版本可以用PEDUMP32直接脱壳,不过有时候无法修改,也就无法汉化,所以最好还是用SOFTICE配合 PEDUMP32脱壳 我们通常都会使用Procdump32这个通用脱壳软件,它是一个强大的脱壳软件,他可以解开绝大部分的加密外壳,还有脚本功能可以使用脚本轻松解开特定外壳的加密文件。另外很多时候我们要用到exe可执行文件编辑软件ultraedit。我们可以下载它的汉化注册版本,它的注册机可从网上搜到。ultraedit打开一个中文软件,若加壳,许多汉字不能被认出 ultraedit打开一个中文软件,若未加壳或已经脱壳,许多汉字能被认出 ultraedit可用来检验壳是否脱掉,以后它的用处还很多,请熟练掌握例如,可用它的替换功能替换作者的姓名为你的姓名注意字节必须相等,两个汉字替两个,三个替三个,不足处在ultraedit编辑器左边用00补。
常见的壳脱法:
(一)aspack壳 脱壳可用unaspack或caspr 1.unaspack ,使用方法类似lanuage,傻瓜式软件,运行后选取待脱壳的软件即可. 缺点:只能脱aspack早些时候版本的壳,不能脱高版本的壳 2.caspr第一种:待脱壳的软件(如aa.exe)和caspr.exe位于同一目录下,执行windows起始菜单的运行,键入 caspr aa.exe脱壳后的文件为aa.ex_,删掉原来的aa.exe,将aa.ex_改名为aa.exe即可。使用方法类似fi 优点:可以脱aspack任何版本的壳,脱壳能力极强缺点:Dos界面。第二种:将aa.exe的图标拖到caspr.exe的图标上***若已侦测出是aspack壳,用unaspack脱壳出错,说明是aspack高版本的壳,用caspr脱即可。 (二)upx壳 脱壳可用upx待脱壳的软件(如aa.exe)和upx.exe位于同一目录下,执行windows起始菜单的运行,键入upx -d aa.exe (三)PEcompact壳 脱壳用unpecompact 使用方法类似lanuage傻瓜式软件,运行后选取待脱壳的软件即可 (四)procdump 万能脱壳但不精,一般不要用 使用方法:运行后,先指定壳的名称,再选定欲脱壳软件,确定即可脱壳后的文件大于原文件由于脱壳软件很成熟,手动脱壳一般用不到。
三、压缩与脱壳
现在脱壳一般分手动和自动两种,手动就是用TRW2000、TR、SOFTICE等调试工具对付,对脱壳者有一定水平要求。而自动就稍好些,用专门的脱壳工具来脱,最常用某种压缩软件都有他人写的反压缩工具对应,有些压缩工具自身能解压,如UPX;有些不提供这功能,如:ASPACK,就需要UNASPACK对付。很多文件使用了一些压缩加壳软件加密过,这就需要对文件进行解压脱壳处理后,才能汉化。这种压缩与我们平时接触的压缩工具如winzip,winrar等压缩不同,winzip和winrar等压缩后的文件不能直接执行,而这种 EXE 压缩软件,EXE文件压缩后,仍可以运行。这种压缩工具把文件压缩后,会在文件开头一部分,加了一段解压代码。执行时该文件时,该代码先执行解压还原文件,不过这些都是在内存中完成的,由于微机速度快,我们基本感觉不出有什么不同。这样的程序很多,如 The bat,Acdsee,Winxfile等等。
要脱壳就应先了解常用压缩工具有哪些,这样知己知彼,如今越来越多的软件商喜欢用压缩方式发行自己的产品,如The bat!用UPX压缩,ACDSEE3.0用ASPACK压缩等。它有以下因素:一是:微机性能越来越好,执行过程中解压使人感觉不出来,用户能接受(给软件加壳,类似WINZIP 的效果,只不过这个加壳压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。解压原理,是加壳工具在文件头里加了一段指令,告诉CPU,怎么才能解压自己。现在的CPU都很快,所以这个解压过程你看不出什么异常。因为软件一下子就打开了,只有你机器配置非常差,才会感觉到不加壳和加壳后的软件运行速度的差别。)。 二是:压缩后软件体积缩小,便于网络传输。三是:增加破解的难度。首先,加壳软件不同于一般的winzip,winrar等压缩软件.它是压缩exe可执行文件的,压缩后的文件可以直接运行.而winzip,winrar等压缩软件可压缩任何文件,但压缩后不能直接运行。很多站点不允许上传可执行文件,而只能上传压缩的文件,一方面处于速度考虑,也是为了安全性考虑。用加壳软件压缩的文件就是体积缩小,别的性质没改变。还是EXE文件,仍可执行,只是运行过程和以前不一样了。压缩工具把文件压缩后,在文件开头一部分,加了一段解压代码。执行时该文件时,该代码先执行解压还原文件,不过这些都是在内存中完成的,由于微机速度快,我们基本感觉不出有什么不同。
windowsPE是什么意思?
(一).壳的概念
作者编好软件后,编译成exe可执行文件。 1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等,即为了保护软件不被破解,通常都是用加壳来进行保护。 2.需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩, 3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。
实现上述功能,这些软件称为加壳软件。
(二).加壳软件最常见的加壳软件ASPACK ,UPX,PEcompact 不常用的加壳软件WWPACK32;PE-PACK ;PETITE ;NEOLITE
(三).侦测壳和软件所用编写语言的软件,因为脱壳之前要查他的壳的类型。 1.侦测壳的软件fileinfo.exe 简称fi.exe(侦测壳的能力极强) 2.侦测壳和软件所用编写语言的软件language.exe(两个功能合为一体,很棒) 推荐language2000中文版(专门检测加壳类型) 3.软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC)
(四)脱壳软件。 软件加壳是作者写完软件后,为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具,当然有盾,自然就有矛,只要我们收集全常用脱壳工具,那就不怕他加壳了。软件脱壳有手动脱壳和自动脱壳之分,下面我们先介绍自动脱壳,因为手动脱壳需要运用汇编语言,要跟踪断点等,不适合初学者,但我们在后边将稍作介绍。
加壳一般属于软件加密,现在越来越多的软件经过压缩处理,给汉化带来许多不便,软件汉化爱好者也不得不学习掌握这种技能。现在脱壳一般分手动和自动两种,手动就是用TRW2000、TR、SOFTICE等调试工具对付,对脱壳者有一定水平要求,涉及到很多汇编语言和软件调试方面的知识。而自动就是用专门的脱壳工具来脱,最常用某种压缩软件都有他人写的反压缩工具对应,有些压缩工具自身能解压,如UPX;有些不提供这功能,如:ASPACK,就需要UNASPACK对付,好处是简单,缺点是版本更新了就没用了。另外脱壳就是用专门的脱壳工具来对付,最流行的是PROCDUMP v1.62 ,可对付目前各种压缩软件的压缩档。在这里介绍的是一些通用的方法和工具,希望对大家有帮助。我们知道文件的加密方式,就可以使用不同的工具、不同的方法进行脱壳。下面是我们常常会碰到的加壳方式及简单的脱壳措施,供大家参考: 脱壳的基本原则就是单步跟踪,只能往前,不能往后。脱壳的一般流程是:查壳->寻找OEP->Dump->修复 找OEP的一般思路如下: 先看壳是加密壳还是压缩壳,压缩壳相对来说容易些,一般是没有异常,找到对应的popad后就能到入口,跳到入口的方式一般为。 我们知道文件被一些压缩加壳软件加密,下一步我们就要分析加密软件的名称、版本。因为不同软件甚至不同版本加的壳,脱壳处理的方法都不相同。
参考资料:
WIN PE 系统 作用及用途
Windows Preinstallation Environment(Windows PE),Windows预安装环境,是带有有限服务的最小Win32子系统,基于以保护模式运行的Windows XP Professional及以上内核。
它包括运行Windows安装程序及脚本、连接网络共享、自动化基本过程以及执行硬件验证所需的最小功能。用于安装、部署和修复 Windows 桌面版(家庭版、专业版、企业版和教育版)、Windows Server 和其他 Windows 操作系统。
Windows PE含有Windows XP、Windows Server 2003、Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 10的PE内核。
用途
一、方便易用的启动工具盘
Windows PE启动相当快捷,而且对启动环境要求不高;其功能几乎相当于安装了一个 Windows 的命令行版本。
因此,对于个人计算机用户,只要将其写入U盘(或刻录在一张光碟上),便可放心地去解决初始化系统之类的问题;而对小型网络环境(如网吧等)用户来说,这一功能尤其实用。
二、有趣的硬盘使用功能
自定义的Windows PE不仅可放到那些可移动存储设备如CD上,还可以放在硬盘上使用。许多朋友会认为将Windows PE的自定义版本放在硬盘上没有什么意义,其实不然。
第一,操作系统损坏无法进入的情况下启动硬盘上的Windows PE可以方便地修复,由于Windows PE在硬盘上,所以在Windows PE环境下安装应用程序就有了可能。以下是如何把自定义的Windows PE安装到硬盘上的步骤。
三、Windows OEM 实用工具
如果用户在 Windows操作系统环境下打开OEM光碟,它就会自动运行Autorun.inf为用户的系统安装一个“Windows安装管理器”的工具包。利用它可以轻易制造出带有计算机厂商OEM标志的Windows安装镜像(对个人没意义)。
还可任意设定Windows PE携带的软件,并可设置这些软件在Windows PE启动时运行。用户甚至可以为自定义的Windows PE版本加上类似于Windows Explorer的图形外壳程序。
特点
1、WinPE是简化版的MicrosoftWindows,放在一片可直接引导的CD或DVD光盘或者U盘,以加载到存储器的方式运行。
特点是引导时出现此版本WindowsPE简化自之原版本的引导画面,以及出现简单的图形接口(GUI),亦能运行InternetExplorer。相比完整的Windows,WindowsPE功能有限,主要用于系统维护。
2、WinPE支持网络,但只附带以下工具:命令提示符、记事本和一些维护工具。
3、WinPE初衷只是方便企业制造自定义的MicrosoftWindows,因此市面上并没有出售(但允许无偿外发)。
4、在微软的批准下,其他软件公司可附上自己的软件于WinPE,令引导电脑时候运行有关的程序。这些软件通常是系统维护,在电脑不能正常运作的情况下,可运用有关的系统维护软件修复电脑。维护软件包括SymantecNortonGhost等等。
5、WindowsVista、Windows7、Windows8和Windows10的安装程序,亦是基于WinPE。在“安装Windows”界面上按下Shift+F10,可开启“命令提示符”。
6、WinPE大多被OEM厂商所使用,举例来说就像刚买回来的品牌套装电脑,不需要完全从头安装操作系统,而是从完成安装开始。
OEM厂商可以自定系统安装完成后,运行安装驱动程序的动作、修改‘电脑’中的OEM商标、安装程序。简单来说WinPE的作用是使用在大量的电脑安装(同规格之电脑),以达到快速且一致性的安装。
7、因为和电脑中的系统没有关联,可以任意添加、修改或复制系统文件,甚至可以格式化电脑中系统所在的磁盘,这种优势使得PE可以深入操作系统文件。
以上内容参考?百度百科-Windows PE
请问查壳软件PEID中的PE是什么意思?是那个英文的缩写?
一、方便易用的启动工具盘
Windows PE启动相当快捷,而且对启动环境要求不高;其功能几乎相当于安装了一个 Windows 的命令行版本。因此,对于个人计算机用户,只要将其写入U盘(或刻录在一张光碟上),便可放心地去解决初始化系统之类的问题;而对小型网络环境(如网吧等)用户来说,这一功能尤其实用。
二、有趣的硬盘使用功能
自定义的Windows PE不仅可放到那些可移动存储设备如CD上,还可以放在硬盘上使用。许多朋友会认为将Windows PE的自定义版本放在硬盘上没有什么意义,其实不然.第一,操作系统损坏无法进入的情况下启动硬盘上的Windows PE可以方便地修复,由于Windows PE在硬盘上,所以在Windows PE环境下安装应用程序就有了可能。以下是如何把自定义的Windows PE安装到硬盘上的步骤(只能在硬盘上放置Windows PE的32位版本)。
首先要安装恢复控制台:
(1)将Windows XP Professional CD放在CD-ROM驱动器中,这里指定其为[cd_drive]。
(2)在命令行CMD窗口中运行[cd_drive]:\i386\winnt32.exe /cmdcons。
然后将Windows PE自定义可引导副本放置在硬盘上,如下操作:
(1)在目标硬盘上,创建“C:\Minint”的目录(这里必须将目录命名为“Minint”)。
(2)将Windows PE“根目录\i386”下的所有内容复制到C:\Minint。
(3)从Windows PE根目录下将Winbom.ini复制到目标硬盘的根目录。
(4)在目标硬盘上,将“C:\Cmdcons\txtsetup.sif”的只读属性改为读/写。
(5)在目标硬盘上,将“C:\Minint\txtsetup.sif”复制到“C:\Cmdcons”进行覆盖。
(6)重新启动目标计算机。在“引导”菜单上,选择引导到“命令控制台”,计算机将使用Windows PE引导。
三、Windows OEM 实用工具
如果用户在 Windows操作系统环境下打开OEM光碟,它就会自动运行Autorun.inf为用户的系统安装一个“Windows安装管理器”的工具包。利用它可以轻易制造出带有计算机厂商OEM标志的Windows安装镜像(对个人没意义)。还可任意设定Windows PE携带的软件,并可设置这些软件在Windows PE启动时运行。用户甚至可以为自定义的Windows PE版本加上类似于Windows Explorer的图形外壳程序。
peid查壳中EP区段是什么意思?
很多新手想要学汉化软件。不知道从何学。今天我就发个最基本的查壳教程。当然咯。此教程只对新手。老鸟请飞过。下面我就简单的介绍一下:
新手想要学汉化。第1步。就是要查壳。看看软件加的是什么壳。什么是壳。壳呢?就象我们人穿的外表的衣服。穿了衣服。我们也就看不到里面的。下面我就用PEID查壳软件来查壳:
PEiD查壳软件介绍:
PEiD 可以探测大多数的 PE 文件封包器、加密器和编译器。当前可以探测 600 多个不同签名。
PEiD 是最强大的一个查壳工具。
汉化包中包含了绝大多数插件,并添加了某些插件必须的库文件(mfc70.dll、msvcr70.dll、rtl70.bpl、vcl70.bpl)。
查壳目标:SWF to MP3 Converter英文版
查壳工具:PEiD
首先:您要下载SWF to MP3 Converter英文版的软件和PEiD软件。
然后。运行PEiD主程序。如下图:
看到了吗?这个就是PEiD主程序界面,( 点击)那几个小数点的。那几点小数点。就是(浏览)的意思。找到您要汉化的英文版软件的主程序。如图:
您找到英文版的主程序以后。点(打开) ,如图:
您找到英文版的主程序以后。点(打开)后。就会出现如下图4:
上面的图,看到了没有。说明这个软件是没有加壳的。是用Microsoft Visual C++ 6.0软件编写的。如果您查到了是aspack的。那就说明是加了aspack的壳。您可以用专门脱aspack脱壳机来脱壳。不过。用自动的脱壳机。本人觉得不理想。对于新版本。根本就无法脱壳。很多高手都是用OllyDBG V1.10 手工来脱壳的。这里我就不多说了。
如果有出现未知的壳。或别的。可以用下面的方法来看看有没有加壳。如图:
看到上图了吗?可以点击红色线条处。查看有没有加壳。有些软件没有加壳。但。却无法显示出来。所以呢?我们就要再看一下。如图
看到上面的图6吗?按图中的说法做。点击各个按钮来查看有没有加壳。如果都没有加壳。那就可以汉化了。如果有一个加了壳。那就无法汉化。必须要脱掉。才能汉化。
象:Microsoft Visual C++ 6.0编写的软件。我们可以用:PE Explorer V1.98 R2汉化工具来汉化。也可以用:Passolo V7.0.01.1汉化工具来汉化。这里我就不多说了。
Passolo V7.0.01.1汉化工具是目前最好的汉化工具。
说明:由于现在很多软件编写用的软件。都不一样。所以呢?要看是用什么软件编写的。我们就用对应的汉化工具来汉化。如:Visual Basic 编写的软件。我们就要用VBLocalize V1.0 来汉化。现在这个软件有汉化版了。〕软件在本站搜索,这个可执行文件可以用什么软件加以修改,1楼楼主能教一下吗?谢谢。。。。
补充
你用《upx 0.80-1.24 》破解软件破解
如果没有这个专用破解软件,
请用人工破解软件破解,但 那样很麻烦,要有一定的技术?
人工破解软件名:OllyDBG V1.10 汉化第二版
⊕本文来自: 360安全网(.hack59) 详细出处参考:://.hack59/news/crack/rm/2009110419511660.html
peid查壳中EP区段意思是peid查壳区段的入口点。EP即Entry Point,入口点。
PEiD是一款著名的查壳工具,功能强大,可以探测大多数的 PE 文档封包器、加密器和编译器,当前可以探测 600 多个不同签名。PEiD 内置有差错控制的技术,一般能确保扫描结果的准确性。
查壳:有的软件为了保护自己的隐私,通常会加上一个壳,也就是我们所说的压缩,用查壳工具可以查看软件加了什么壳,用什么语言加的壳,然后就可以通过一些破解工具,对软件进行破解。
声明:本站所有文章资源内容,如无特殊说明或标注,均为采集网络资源。如若本站内容侵犯了原著者的合法权益,可联系本站删除。
