exe脱壳 逆向分析：从菜鸟到江湖大鳄的必经之路，你掌握了吗？

// 下载地址:/1333/

逆向分析，计算机世界的九阴真经

这项神奇的技能可以让你从一个随手碾压的菜鸟，变成一个可以秒杀别人的大佬。

逆向工程

你玩游戏吗？单机游戏你用过游戏补丁或者修改器吗？

逆向工程又称逆向技术，是一种产品设计技术再现过程，即对目标产品进行逆向分析和研究，从而推断和获得产品的加工流程、组织结构、功能特性和技术规格等设计要素，以生产出功能相似但不完全相同的产品。逆向工程起源于商业和军事领域的硬件分析，其主要目的是在无法轻易获得必要的生产信息时，直接从成品分析中推断出产品的设计原理。

随着计算机技术在各个领域的广泛应用，特别是软件开发技术的飞速发展，软件逆向工程成为软件逆向工程技术的主要内容，即通过反汇编、阅读源代码来推断某个软件的数据结构、体系结构和编程信息。软件逆向工程的目的是为了研究和学习先进的技术，特别是在没有相应的文档资料而又确实需要实现某个软件的功能时。正因为如此，很多软件为了垄断技术，要求用户在安装软件前同意不进行逆向研究。

并且，这就是关键所在：逆向工程的实施过程是一个多领域、多学科协作的过程。

让我们用它来解释

首先我要声明，这篇文章只是技术讨论，不包含任何攻击性或负面攻击性的内容。我很喜欢俄罗斯方块， Rush 更是风靡一时。我记得我日夜练习俄罗斯方块，试图在 3V3 比赛中展现我的野心。但我没想到有这么多高手，我可以轻松击败他们。

此刻我应该做什么呢？

如果我有一件传奇魔法武器会怎么样？我能扭转局面吗？嗯，这很有趣。那么，让我们开始制造武器吧——制造一个传奇的俄罗斯方块助手怎么样？

首先要创建助手必须干预程序，怎么干预呢？

远程 DLL 注入！

DLL远程注入技术是Win32病毒广泛使用的技术，使用该技术的病毒体通常位于一个DLL中，系统启动时EXE程序就会把这个DLL加载到某些系统进程（如.exe）中运行。

这样，一般的进程管理器很难发现这个病毒，而且即使发现了，也很难清除，因为只要病毒寄生的进程不终止，DLL就不会在内存中被卸载。

用户将无法在资源管理器中删除该DLL文件，真是一举两得。记得2003年QQ尾巴病毒猖獗的时候，尾巴病毒的一些变种就已经在使用这种技术了。需要了解以下几个API函数：

这里我只简单描述了一下该函数，详细的功能和介绍请参考MSDN。另外关于代码，本文不贴代码，只讲技术，有兴趣的可以自行。

这样，就可以把你编写的DLL注入到 Rush程序中，并让其运行了。

DLL中实现了什么？

DLL中需要实现的是一套玩 Rush的人工智能机器人，假设我们已经引入了超级智能的LIB，那么DLL中还需要实现一些模拟控制的方法，还需要什么呢？还需要当前方块的样子，下一个方块的样子，当前方块的当前的样子，甚至对手的落点的样子，你获得了什么道具等等。

这些数据从哪里来？

图像识别，对当前窗口进行截图，然后根据XY坐标进行分析，通过图像识别的方法，可以得到当前方块的形状、自己的落点、对手的形状。

这个可以吗？

这个是比较直观的解决办法，但是你每次都要扫描、比对图片才能得到数据。你会直观的想，这样快吗？效率吗？假设你有这个数据，你还想干什么？当然要操作，移动方块、变换方块、放下方块、使用道具。怎么做呢？简单，模拟鼠标键盘按键，然后操作就行了。

听起来这个计划不错，不是吗？NO，如果做成这样，最多只能算是武器，离法宝可能还差得远呢！那么，法宝要怎么制作呢？

分析内存，找到当前区块，自己的落点，对手的落点。分析程序，获取开发者对操作函数的实现，并调用这些函数。So？听起来很高深，能做到吗？

逆向工程工具

这里我只给大家普及一下工具，不会一一演示，只做简单的介绍和说明。

静态分析工具 IDA，即 （ ），通常称为 IDA Pro 或简称为 IDA，是总部位于比利时列日的 Hex-Ray 公司的产品。IDA 是由一位名叫 Ilfak 的编程天才开发的。十年前首次创建时，IDA 是一个基于控制台的 MS-DOS 应用程序，这一点很重要，因为它有助于我们了解 IDA 用户界面的性质。除其他事项外，IDA 的非 GUI 版本和非 GUI 版本继续使用源自原始 DOS 版本的控制台式界面。

动态调试工具包括OD（）和。这两个调试器都可以用来调试应用层程序。一般首选OD，因为它主要面向逆向工程，窗口布局比较合理直观，插件也比较多。OD没有那么方便，大部分操作都是通过命令来完成的，但也有它的优点，各种命令（内置命令、元命令、扩展命令）提供了强大的控制和分析能力，所以有时候也会用到。如果要调试内核程序或者模块，OD就无能为力了，可以说是唯一的选择，以前曾经有过，但是已经停止更新支持了exe脱壳，现在已经没什么用了。

PEid 是一个壳检测工具，但实际效果还是工具加上自己的分析。脱壳，尽量手动。二进制编辑工具，Hex 和比较工具。网络数据包捕获和分析工具和 Iris。文件和注册表监控工具。最后，虚拟机，VM 最好。

开始反向

有了工具，我们就可以开始对 Rush 进行逆向分析了。逆向分析是一个复杂而繁琐的过程，会经过无数次的尝试，代码分析，逻辑分析。如果你在分析一款游戏，如果你是一个游戏开发者，你的思路可能会更开阔，了解一些开发者的正常思维。

那么，我们从哪里开始这个游戏呢？

用OD附上俄罗斯方块，发现一个关键点，就是游戏的初始化。

从正常的开发角度看，初始化的时候一般都会清除数据。方块的样式分配，不管是从网络还是本地。从这里入手，我很快就找到了几个内存地址，从这些地址中，我可以得到当前方块的样式，预测下一个方块的样式，得到当前游戏池的样式。然后，接下来，我寻找控制移动的地方。很快，我从按钮中得到了一些信息，找到了。

其中我们可以看到OD中所有掉落的方块的内存样式，红色的是变化的数据，变化的是什么数据呢？就是决定掉落的方块，数字代表方块的颜色，或者说方块的样式，在内存中的分布如图所示。

然后，通过将 DLL 注入到进程中，就创建了一个插件。下图显示了插件的工作原理。

其中，已经预测了接下来几块方块的样式，并获取了游戏盘面的数据，AUTO自动开始游戏，测试效果相当不错。

完成的？

其实逆向工程有很多深奥的奥秘，我只是个初学者，现在大多数程序都加了一些逆向调优，有些程序本身就加了壳。

如今安全越来越被大家重视，公司安全逆向工程团队一般会做一些病毒样本分析，也会为公司做一些产品防护。这是一个博大精深的世界，非常有趣，也充满挑战。因此本文的简单介绍希望能吸引大家进入这个神奇的境界。