Agregar flores, agregar conchas, agregar áreas: preguntas sobre cómo evitar matar
1. ¿Qué es un shell?
Hay un programa en el software de computadora que es específicamente responsable de proteger el software contra modificaciones ilegales o descompilaciones. Por lo general, se ejecutan antes que el programa, obtienen el control y luego completan su tarea de proteger el software. La gente llama a estos programas "shells". Desde un punto de vista abstracto funcional, el caparazón del software es casi el mismo que el caparazón en la naturaleza. No es más que proteger y ocultar lo que hay dentro del caparazón. Desde un punto de vista técnico, el shell es un fragmento de código que se ejecuta antes que el programa original. El código del programa original puede comprimirse y cifrarse durante el proceso de empaquetado... Cuando se ejecuta el archivo empaquetado, el código empaquetador se ejecuta antes que el programa original. Restaura el código comprimido y cifrado al código del programa original y luego devuelve los derechos de ejecución al código original. Los shells de software se dividen en shells de cifrado, shells de compresión, shells de camuflaje, shells multicapa, etc. El propósito es ocultar el OEP (punto de entrada) real del programa para evitar que se descifre.
Después de que el autor compila el software, lo compila en un archivo ejecutable exe. Hay cierta información de derechos de autor que debe protegerse y no quiere que otros la cambien casualmente, como el nombre del autor. Para proteger el software contra descifrados, generalmente se protege mediante el uso de un empaquetador. El embalaje requiere hacer el programa más pequeño para que sea más fácil de usar. Por lo tanto, necesita utilizar algún software que pueda comprimir archivos ejecutables exe. En el mundo de los piratas informáticos, los "shells" se utilizan para proteger virus y empaquetar y descomprimir troyanos y otro software para evitar el software antivirus, lo que causa muchos problemas a los internautas.
Segundo paquete de virus:
En las películas de espías de Hollywood, los agentes suelen utilizar maquillajes mágicos e impredecibles para engañar a los demás, o incluso transformarse en otra identidad. Hay regulaciones nacionales sobre este tipo de identidad. término popular para disfrazar el comportamiento: "llevar chaleco". Esta batalla entre el bien y el mal se ha extendido al campo de los virus. Muchos autores de virus evitan ser detectados por el software antivirus "usando chalecos" o incluso usando varios "chalecos" en sus virus. Los autores de virus pueden empaquetar virus antiguos y crear virus nuevos en grandes cantidades que el software antivirus no puede reconocer. El llamado empaquetado es un método para cambiar la codificación de archivos de programas ejecutables o archivos de biblioteca de enlaces dinámicos mediante una serie de operaciones matemáticas (actualmente existen algunos programas de empaquetado que pueden comprimir y cifrar controladores) para reducir el tamaño del archivo o cifrar. el archivo. El propósito de la codificación del programa. Cuando se ejecuta el programa empaquetado, el programa shell se ejecuta primero, y luego el programa shell es responsable de descomprimir el programa original del usuario en la memoria y devolver el control al programa real después de descomprimirlo. Todas las operaciones se completan automáticamente y el usuario no necesita saber cómo se ejecuta el programa de shell. En general, los resultados de ejecución de programas empaquetados y descomprimidos son los mismos.
Dado que los virus empaquetados son difíciles de detectar, ¿cómo determinar si un archivo ejecutable ha sido empaquetado?
Existe un método sencillo (el efecto es más evidente en el caso del software chino). Utilice el Bloc de notas para abrir un archivo ejecutable. Si puede ver el mensaje de solicitud del software, generalmente está descomprimido. Si está completamente confuso, probablemente esté empaquetado. También podemos usar una herramienta llamada Fileinfo para ver qué tipo de shell se agrega al archivo. Actualmente, los shells más comunes incluyen "UPX", "ASPack", "PePack", "PECompact", "UPack", "NsPack", "Immunity007", "Trojan Caiyi", etc.
El principio del empaquetado de virus es muy simple. La mayoría de los virus que se proporcionan actualmente en los campamentos de hackers han sido procesados y estos procesos se denominan empaquetado. Sabemos que después de generar un programa EXE normal, se puede modificar fácilmente utilizando herramientas de recursos y herramientas de desmontaje, pero si el programador agrega un shell al programa EXE, al menos el programa EXE desgranado no es tan fácil de modificar. Si desea modificarlo, primero debe descomprimirlo. Lo mismo ocurre después de empaquetar el virus. También debemos descomprimirlo primero.