壳
一.无壳程序
1.vc6无壳程序
它的入口点代码是固定代码push ebp;,区段分四个:.text .rdata .data .rsrc。
2.vs2008/vs2013无壳程序
入口点代码是CALL+JMP,区段分五个:.text .rdata .data .rsrc .reloc。
3.易语言无壳程序
易语言独立编译的和vc6特征一样。
易语言非独立编译存在关键字“krnln.fnr”。
二.识别加壳的方法
好的工具依次是Exeinfo PE、PEiD,可以根据区段信息和入口特征分辨。
Yestoday is history, tomorrow is a mystery, but today is a gift.That is why it's called "present". --《Kung Fu Panda》
