用查壳软件查不到壳，事实上有是壳的，这种情况怎么解决

侦测工具peid

是根据一定特征的修改入口点特征或加密后或加二个壳，或伪装壳，都不能正解查到用的是什么壳！用万能脱壳机试下！或用OD载入！手动脱壳！1PUSHAD （压栈） 代表程序的入口点,

2POPAD （出栈）代表程序的出口点，与PUSHAD想对应，一般找到这个OEP就在附近

3OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP/FOEP），只要我们找到程序真正的OEP，就可以立刻脱壳。

方法一：单步跟踪法

1用OD载入，点“不分析代码！”

2单步向下跟踪F8，实现向下的跳。也就是说向上的跳不让其实现！（通过F4）

3遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——>运行到所选）

4绿色线条表示跳转没实现，不用理会，红色线条表示跳转已经实现！

5如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，不然程序很容易跑飞，这样很快就能到程序的OEP

6在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入

7一般有很大的跳转（大跨段），比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就会到程序的OEP。

Btw:在有些壳无法向下跟踪的时候，我们可以在附近找到没有实现的大跳转，右键-->“跟随”,然后F2下断，Shift+F9运行停在“跟随”的位置，再取消断点，继续F8单步跟踪。一般情况下可以轻松到达OEP！

方法二：ESP定律法

ESP定理脱壳（ESP在OD的寄存器中，我们只要在命令行下ESP的硬件访问断点，就会一下来到程序的OEP了！）

1开始就点F8，注意观察OD右上角的寄存器中ESP有没突现（变成红色）。（这只是一般情况下，更确切的说我们选择的ESP值是关键句之后的第一个ESP值）

2在命令行下：dd XXXXXXXX(指在当前代码中的ESP地址，或者是hr XXXXXXXX)，按回车！

3选中下断的地址，断点--->硬件访--->WORD断点。

4按一下F9运行程序，直接来到了跳转处，按下F8，到达程序OEP。

方法三：内存镜像法

1：用OD打开软件！

2：点击选项——调试选项——异常，把里面的忽略全部√上！CTRL+F2重载下程序！

3：按ALT+M,打开内存镜象，找到程序的第一个rsrc按F2下断点，然后按SHIFT+F9运行到断点，接着再按ALT+M,打开内存镜象，找到程序的第一个rsrc上面的CODE（也就是00401000处），按F2下断点！然后按SHIFT+F9（或者是在没异常情况下按F9），直接到达程序OEP！

方法四：一步到达OEP

1开始按Ctrl+F,输入：popad（只适合少数壳，包括UPX，ASPACK壳），然后按下F2，F9运行到此处

2来到大跳转处，点下F8，到达OEP！

方法五：最后一次异常法

1：用OD打开软件

2：点击选项——调试选项——异常，把里面的√全部去掉！CTRL+F2重载下程序

3：一开始程序就是一个跳转，在这里我们按SHIFT+F9，直到程序运行，记下从开始按SHIFT+F9到程序运行的次数m！

4：CTRL+F2重载程序，按SHIFT+F9（这次按的次数为程序运行的次数m-1次）

5：在OD的右下角我们看见有一个"SE 句柄"，这时我们按CTRL+G，输入SE 句柄前的地址！

6：按F2下断点！然后按SHIFT+F9来到断点处！

7：去掉断点，按F8慢慢向下走！

8：到达程序的OEP！

方法六：模拟跟踪法

1：先试运行，跟踪一下程序，看有没有SEH暗桩之类

2：ALT+M打开内存镜像，找到（包含=SFX,imports,relocations）

内存镜像，项目 30

地址=0054B000

大小=00002000 (8192)

Owner=check 00400000

区段=aspack

包含=SFX,imports,relocations

类型=Imag 01001002

访问=R

初始访问=RWE

3：地址为0054B000，如是我们在命令行输入tc eip<0054B000,回车，正在跟踪ing。。

Btw:大家在使用这个方法的时候，要理解他是要在怎么样的情况下才可以使用

方法七：“SFX”法

1：设置OD，忽略所有异常，也就是说异常选项卡里面都打上勾

2：切换到SFX选项卡，选择“字节模式跟踪实际入口（速度非常慢）”，确定。

3：重载程序（如果跳出是否“压缩代码？”选择“否”，OD直接到达OEP）

如何分辨加密壳和压缩壳，通用特点，Od载入时有入口警告或询问是压缩程序吗？普通压缩壳Od调试时候没有异常，加密壳全部有反跟踪代码，会有许多SEH陷阱使OD调试时产生异常。

找OEP的一般思路如下：

先看壳是加密壳还是压缩壳，压缩壳相对来说容易些，一般是没有异常。

外壳解压代码起始点如果是

pushfd

pushad

跟踪时如果有发现

popad

popfd

对应

有些壳只有

pushad

和

popad

相对应

附近还有

retn

jmp

等指令，发生跨断跳跃一般就到了OEP处。

当然也有其他的，如 je OEP等等，一般都是段之间的大跳转，OD的反汇编窗口里都是同一个段的内容，所以更好区别是否是段间跳转。

找Oep时注意两点。

1、单步往前走，不要回头。

2、观察。注意poshad、poshfd,popad、popfd等，和外壳代码处对应，注意地址发生大的变化。单步跟踪什么时候F8走，F7,F4步过？

这里我说说关于F8(Step Over)和F7(Step in)的一般方法，粗跟的时候一般都是常用F8走，但是有些call是变形的Jmp，此时就需要F7代过，区别是否是变形Jmp的一个简单方法是比较call的目标地址和当前地址，如果两者离的很近，一般就是变形Jmp了，用F7走。对于Call的距离很远，可以放心用F8步过，如果你再用F7步过，只是浪费时间而已。F8步过对压缩壳用的很多，F7步过加密壳用的很多，如果用F8一不小心就跑飞（程序运行），跟踪失败。

加密壳找Oep

对于加密壳，我的方法一般是用OD载入，钩掉所有异常（不忽略任何异常，除了忽略在KERNEL32 中的内存访问异常打勾。有时由于异常过多可以适当忽略一些异常），运行，数着用了多少次Shift+F9程序运行，显然最后一次异常后，程序会从壳跳到OEP开始执行，这就是我们寻找OEP的一个关键，如果程序 Shift+F9后直接退出，很明显加密壳检测调试器，最简单的应付方法就是用OD插件隐藏OD

苹果app请求追踪意思是用户开启权限后，苹果在其他公司拥有的app和网站中可以跟踪用户的活动，用户根据需要设置开启或关闭。关闭方法是：

1、首先打开手机后，点击桌面上边的设置应用。

2、跳转到设置界面，向下滑动。

3、在这些选项里边找到隐私，点击隐私进入。

4、在隐私界面后，点击上方的跟踪选项。

5、默认的App请求跟踪是开启状态。

6、点击允许App请求跟踪右边的按钮关闭即可。

1程序窗口句柄检测

原理:用FindWindow函数查找具有相同窗口类名和标题的窗口,如果找到就说明有OD在运行

//

//通过查找窗口类名来实现检测OllyDBG

//

function AntiLoader():Boolean;

const

OllyName='OLLYDBG';

var

Hwnd:Thandle;

begin

Hwnd:=FindWindow(OllyName,nil);

if Hwnd<>0 then

Result:=True

else

Result:=False;

end;

procedure TForm1FormCreate(Sender: TObject);

begin

if AntiLoader then

MessageBox(Handle,'找到调试器!','提示',MB_OK+MB_ICONINFORMATION)

else

MessageBox(Handle,'未找到调试器!','提示',MB_OK+MB_ICONINFORMATION)

end;

2用线程环境块检测

原理:用ring3级下的调试器对可执行程序进行调试时,调试器会把被调试的可执行程序作为一个子线程进行跟踪这时被调试的可执行程序的PEB结构偏移0x02处的BeingDebugged的值为1,如果可执行程序未被调试,则值为0,所以可以利用这个值来检测程序是否被ring3级下的调试器调试

//

//使用PEB结构检测OllyDBG

//

function AntiLoader():Boolean; //检测调试器;

var

YInt,NInt:Integer;

begin

asm

mov eax,fs:[$30]

//获取PEB偏移2h处BeingDebugged的值

movzx eax,byte ptr[eax+$2]

or al,al

jz @No

jnz @Yes

@No:

mov NInt,1

@Yes:

Mov YInt,1

end;

if YInt=1 then

Result:=True;

if NInt=1 then

Result:=False;

end;

procedure TForm1FormCreate(Sender: TObject);

begin

if AntiLoader then

MessageBox(Handle,'发现调试器!','提示',MB_OK+MB_ICONINFORMATION)

else

MessageBox(Handle,'未发现调试器!','提示',MB_OK+MB_ICONINFORMATION);

end;

3用API函数IsDebuggerPresent检测

原理: *** 作系统将调试对象设置为在特殊环境中运行,而kernel32dll中的API函数IsDebuggerPresent的功能是用于判断进程是否处于调试环境中,这样就可以利用这个API函数来查看进程是否在调试器中执行

//

//利用IsDebuggerPresent函数检测OllyDBG

//

function AntiLoader():Boolean;

var

isDebuggerPresent: function:Boolean;

Addr: THandle;

begin

Addr := LoadLibrary('kernel32dll');

isDebuggerPresent := GetProcAddress(Addr, 'IsDebuggerPresent');

if isDebuggerPresent then

Result:=True

else

Result:=False;

end;

procedure TForm1FormCreate(Sender: TObject);

begin

if AntiLoader then

MessageBox(Handle,'发现调试器!','提示',MB_OK+MB_ICONINFORMATION)

else

MessageBox(Handle,'未发现提示器!','提示',MB_OK+MB_ICONINFORMATION);

end;

4检查程序的父进程

原理:Windows *** 作系统下的GUI可执行程序的父进程都是explorerexe(CUI可执行程序的父进程是CMDexe,系统服务的父进程是Serviceexe,在实际使用的时候需要根据自己的程序类型来选择父进程实现反跟踪),而正被调试器OD调试的程序的父进程是调试器的执行程序ollydbgexe而不是别的所以可以利用检查父进程是否为explorerexe的方法来检测OD

//

//检查父进程来检测OllyDBG

//

function AntiLoader():Boolean;

const

ParentName='\EXPLOREREXE';

var

hSnap,hProcess:THandle;

szBuffer:array[0MAX_PATH] of char;

FileName:array[0MAX_PATH] of char;

Process32:PROCESSENTRY32;

LoopFlag:BOOL;

begin

////得到所有进程的列表快照

hSnap:=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

if hSnap=INVALID_HANDLE_VALUE then

begin

Result:=False;

Exit;

end;

Process32dwSize:=sizeof(PROCESSENTRY32);

//查找进程

LoopFlag:=Process32First(hSnap,Process32);

if LoopFlag=False then

begin

CloseHandle(hSnap);

Result:=False;

Exit;

end;

while Integer(LoopFlag)<>0 do

begin

if Process32th32ProcessID=GetCurrentProcessId() then

begin

hProcess:=OpenProcess(PROCESS_ALL_ACCESS,FALSE,Process32th32ParentProcessID);

if hProcess<>0 then

begin

if GetModuleFileNameEx(hProcess,0,FileName,MAX_PATH)<>0 then

begin

//取得系统目录

GetWindowsDirectory(szBuffer,MAX_PATH);

//合并系统目录和\EXPLOREREXE

StrCat(szBuffer,ParentName);

//转换成大写以后比较当前调试程序的进程是否为父进程

if UpperCase(String(FileName))<>UpperCase(String(szBuffer)) then

Result:=True

else

Result:=False;

end;

end

else

Result:=False;

end;

LoopFlag:=Process32Next(hSnap,Process32);

end;

CloseHandle(hSnap);

end;

procedure TForm1FormCreate(Sender: TObject);

begin

if AntiLoader then

MessageBox(Handle,'发现调试器!','提示',MB_OK+MB_ICONINFORMATION)

else

MessageBox(Handle,'未发现调试器!','提示',MB_OK+MB_ICONINFORMATION)

end;

5检查STARTUPINFO结构

原理:Windows *** 作系统中的explorerexe创建进程的时候会把STARTUPINFO结构中的值设为0,而非explorerexe创建进程的时候会忽略这个结构中的值，也就是结构中的值不为0，所以可以利用这个来判断OD是否在调试程序

/

//通过检测STARTUPINFO结构来检测OllyDbg

//

function AntiLoader():Boolean;

var

Info:STARTUPINFO;

begin

GetStartupInfo(Info);

if (InfodwX<>0) or (InfodwY<>0) or (InfodwXCountChars<>0) or (InfodwYCountChars<>0) or

(InfodwFillAttribute<>0) or (InfodwXSize<>0) or (InfodwYSize<>0) then

Result:=True

else

Result:=False;

end;

procedure TMainFrmFormCreate(Sender: TObject);

begin

if AntiLoader then

MessageBox(Handle,'发现调试器!','提示',MB_OK)

else

MessageBox(Handle,'未发现调试器!','提示',MB_OK);

境外网络攻击的目的很明确，因为我们国家是防御新冠病毒最好的国家没有之一，所以很多国家不希望看见这样的结果，想要看到中国和他们一样躺平疫情，所以对我们国家健康码服务器进行攻击，这样我们就没法确认个人行程和是否是绿码，这是非常歹毒的目的。

中国互联网为什么总是收到境外攻击？

因为境外网络攻击从没有停止过，事实上我国是互联网攻击的关键受害者之一，我国大约有52000台电子计算机木马程序在海外 *** 纵网络服务器，在中国控制大约控制了531万台服务器。中国83万个IP地址遭到未知互联网攻击，70%以上来自海外。国家互联网技术应急中心发现，中国的互联网技术一直受到海外互联网的攻击。海外机构根据攻击 *** 纵我地区的电子计算机，从而对俄罗斯、乌克兰和白俄罗斯进行互联网攻击。经分析该攻击详细地址的关键来自美国，仅来自纽约州就有10多个攻击地址。

那么对于境外网络攻击如何进行反追踪？

对于境外攻击的反追踪可以对受攻击的IP和服务器进行溯源反追踪，通过反向IP查找服务器，并逐层反向追踪就可以查到真正的IP地址。如今互联网可追溯性和IP搜索的作用越来越强大。根据国家公布的消息，绝大多数来自美国，它刺激了中国的一些电子计算机，从中国的计算机，从中国的IP，然后攻击俄罗斯的整体目标。一方面，它覆盖了自己的真实身份，以防止对方立即压制，它可以将整体目标转移到其他国家。另一方面，它挑起了中俄之间的这种合作。

美国成立网络战争军队后，是一场技术专业的网络战争，可以实现自主战斗。如果攻击只在美国启动，IP地址很容易明确，那么美国就是网络战争和电脑鼠标战争的罪魁祸首。如果遥控器其他国家，特别是整体目标国家的友好国家进行互联网攻击，很难找出哪一个背后的黑火，这可能会把互联网攻击的所有结果都嫁给别人。

脱壳 在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然（但后来也出现了所谓的“壳中带籽”的壳）。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样，其实都是命名上的方法罢了。 从功能上抽象，软件的壳和自然界中的壳相差无几。无非是保护、隐蔽壳内的东西。而从技术的角度出发，壳是一段执行于原始程序前的代码。原始程序的代码在加壳的过程中可能被压缩、加密……。当加壳后的文件执行时，壳－这段代码先于原始程序运行，他把压缩、加密后的代码还原成原始程序代码，然后再把执行权交还给原始代码。 软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的OEP（入口点，防止被破解）。关于“壳”以及相关软件的发展历史请参阅吴先生的《一切从“壳”开始》。

加壳 加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段

加壳过的程序可以直接运行,但是不能查看源代码要经过脱壳才可以查看源代码

加壳：其实是利用特殊的算法，对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果，只不过这个压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后，先于原始程序执行，得到控制权，执行过程中对原始程序进行解密、还原，还原完成后再把控制权交还给原始程序，执行原来的代码部分。加上外壳后，原始程序代码在磁盘文件中一般是以加密后的形式存在的，只在执行时在内存中还原，这样就可以比较有效地防止破解者对程序文件的非法修改，同时也可以防止程序被静态反编译。

解压原理，是加壳工具在文件头里加了一段指令，告诉CPU，怎么才能解压自己。现在的CPU都很快，所以这个解压过程你看不出什么东西。软件一下子就打开了，只有你机器配置非常差，才会感觉到不加壳和加壳后的软件运行速度的差别。当你加壳时，其实就是给可执行的文件加上个外衣。用户执行的只是这个外壳程序。当你执行这个程序的时候这个壳就会把原来的程序在内存中解开，解开后，以后的就交给真正的程序。所以，这些的工作只是在内存中运行的，是不可以了解具体是怎么样在内存中运行的。通常说的对外壳加密，都是指很多网上免费或者非免费的软件，被一些专门的加壳程序加壳，基本上是对程序的压缩或者不压缩。因为有的时候程序会过大，需要压缩。但是大部分的程序是因为防止反跟踪，防止程序被人跟踪调试，防止算法程序不想被别人静态分析。加密代码和数据，保护你的程序数据的完整性。不被修改或者窥视你程序的内幕。

简单的说是直接就可以执行任务不用你自己解压到需要的文件里了!

加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段

加壳过的程序可以直接运行,但是不能查看源代码要经过脱壳才可以查看源代码

加壳：其实是利用特殊的算法，对EXE、DLL文件里的资源进行压缩。类似WINZIP的效果，只不过这个压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。

解压原理，是加壳工具在文件头里加了一段指令，告诉CPU，怎么才能解压自己。现在的CPU都很快，所以这个解压过程你看不出什么东西。软件一下子就打开了，只有你机器配置非常差，才会感觉到不加壳和加壳后的软件运行速度的差别。当你加壳时，其实就是给可执行的文件加上个外衣。用户执行的只是这个外壳程序。当你执行这个程序的时候这个壳就会把原来的程序在内存中解开，解开后，以后的就交给真正的程序。所以，这些的工作只是在内存中运行的，是不可以了解具体是怎么样在内存中运行的。通常说的对外壳加密，都是指很多网上免费或者非免费的软件，被一些专门的加壳程序加壳，基本上是对程序的压缩或者不压缩。因为有的时候程序会过大，需要压缩。但是大部分的程序是因为防止反跟踪，防止程序被人跟踪调试，防止算法程序不想被别人静态分析。加密代码和数据，保护你的程序数据的完整性。不被修改或者窥视你程序的内幕。

加“壳”虽然增加了CPU附带但是减少了硬盘读写时间，实际应用时加“壳”以后程序运行速度更快（当然有的加“壳”以后会变慢，那是选择的加“壳”工具问题）。

一般软件都加“壳”这样不但可以保护自己的软件不被破解、修改还可以增加运行时启动速度。

加“壳”不等于木马，我们平时的巨大多数软件都加了自己的专用“壳”。

RAR和ZIP都是压缩软件不是加“壳”工具，他们解压时是需要进行磁盘读写，“壳”的解压缩是直接在内存中进行的，用RAR或者ZIP压缩一个病毒你试试解压缩时杀毒软件肯定会发现，而用加“壳”手段封装老木马，能发现的杀毒软件就剩不下几个。

木马加壳的原理很简单，在黑客营中提供的多数木马中，很多都是经过处理的，而这些处理就是所谓的加壳。大姐说，当一个EXE的程序生成好后，很轻松的就可以利用诸如资源工具和反汇编工具对它进行修改，但如果程序员给EXE程序加一个壳的话，那么至少这个加了壳的EXE程序就不是那么好修改了，如果想修改就必须先脱壳。听雨了解鹿采薇很清楚每一个木马的加壳手段，冰河用ASPack，而灰鸽子则是UPXShell进行加壳的

以上就是关于用查壳软件查不到壳，事实上有是壳的，这种情况怎么解决全部的内容，包括:用查壳软件查不到壳，事实上有是壳的，这种情况怎么解决、苹果app请求追踪是干嘛的、关于病毒的反调试技术等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！