您的位置:首页精文荟萃破解文章 → FI原理

FI原理

时间:2004/10/15 0:50:00来源:本站整理作者:蓝点我要评论(0)

 

一般来说在不通过载入的情况下判断文件的类型只有两种
第一是 通过判断扩展名  这个谁都会 而且通过扩展名也不可能判断出是什么东西加壳  所以这一项基本排除
第二就是特征码判断  举个例子来说 比如一个软件使用UPX加壳 那么他的区段名称必然是UPX0 UPX1 UPX2…………  只要写一个软件读取EXE文件的区段名称就可以轻易的判断出是使用什么东西加壳  而且现在使用大多数加壳软件加壳后的文件都会有自己独有的区段名称  比如上面的UPX ASP(ASPACK加壳) PEC(PECompact) .yc(Yode) 等等 就不一一列举了
但是加壳的人都不是傻子 用这种方法加壳后的文件只要通过单一点修改区段头信息就可以预防被检测了 所以FI采用的也不是这种方法检测(有可能个别类型的壳出外)
因此得出的结论就是它要通过加壳后程序固有的一段特征代码来验证 这段特征代码一定是不会改变的 不信你试试用UPX加壳后  无论你将它的区段改成什么都无法逃过FI的眼睛…………
或者你用字符串替换器查找脱壳后的FI  你就会发现有很多看不懂得ASCII字符 这些大多是加壳程序的特征代码  你在使用这种加壳程序加壳后都会在程序中找到这段特征代码 ^_^

至于逃过检测的方法………… 据我知道有三种
一种是通过SMC技术 让加壳后的程序改变 这是一个有效的方法 因为FI所检测的特征码大多是在壳的第一个入口之前 所以SMC可以改变程序的代码 即躲过FI的检测  如果你使用过冰天雪地以前制作过的SMC破解的ASPACK2.0的话 你就会体会到了  它加壳后的程序即无法使用UnASPACK脱壳 也无法是FI检测!!  不过会SMC技术的Cracker很少 而且浪费时间 所以不推荐使用
第二种是通过TOPO这个软件  在加壳后使用它创建一个新的区段 这样对某些测试工具有效 比如language ………… 在FI下也对有些壳有效!而且这种方法还可以导致在使用W32dasm反汇编的时候产生非法操作!
第二种方法呢就简单了  呵呵 就是~~~~~~~ 打死FI的作者 呵呵 就没有升级了  哈哈

    
    
     
    
    
     

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 去除winrar注册框方法

最新文章 比特币病毒怎么破解 比去除winrar注册框方法 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)通过Access破解MSSQL获得数据

人气排行 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)qq相册密码破解方法去除winrar注册框方法(适应任何版本)怎么用手机破解收费游戏华为无线猫HG522破解如何给软件脱壳基础教程