破解与反破解是对抗的关系，为了防止破解，有一些二进制代码的保护和混淆的手段

目录

抵御静态分析

花指令

常见的花指令

示例一

示例二

指令替换

示例

代码自修改（Self Modifying Code,SMC）

加壳

压缩壳

UPX

ASPack

加密壳

ASProtect

Armadillo

EXECryptor

Themida

手动脱壳

反调试

抵御静态分析

花指令

常见的花指令

示例一

下面是一段正常的代码

push ebp
mov ebp，esp
sub 0x100

加了花指令之后

push ebp
pushfd
add esp,0xd
nop
sub esp,0xd
popfd
mov ebp,esp
sub esp,0x100

加了很多相互抵消的操作

示例二

正常代码

push ebpjmp addr1
addr1:mov ebp,espsub esp,0x100

加花指令之后的代码

push ebpjz addr1jnz addr1db 0xE8
addr1:mov ebp,espsub esp,0x100

0xE8是call指令的首字节

push ebpjz addr2jnz addr2db 0xE8
addr3:sub esp,0x100......
addr2:mov ebp,espsub esp,0x100

指令替换

示例

使用call调用函数

call addr

可以替换成

push addr
ret

或者

push ecx
mov ecx,[esp+4]
add esp,8
jmp ecx

代码自修改（Self Modifying Code,SMC）

加壳

压缩壳

侧重于压缩的壳，压缩壳可以减少软件的体积，加密保护不是重点

UPX

有DOS，Linux和Windows版本

官网

ASPack

是一款Win32可执行文件压缩软件，可压缩Win32可执行文件EXE，DLL，OCX

官网

加密壳

ASProtect

是一款功能强大的Win32保护工具

有压缩，加密，反跟踪代码，CRC校验和花指令等保护措施

Armadillo

Armadillo是穿山甲的意思

 有Public和Custom两个版本

可以为软件加上多种限制，包括时间，次数，启动画面等

有“CC保护”，扫描程序，处理标签里的跳转指令，将所有跳转指令换成INT3指令，机器码是CC，Armadillo是双进程运行的，子进程遇到CC异常，父进程会截获这个INT3异常，计算出跳转指令的目标地址并将其反馈给子进程，使子进程继续运行

EXECryptor

为目标软件添加注册机制，时间限制，使用次数等附加功能

Themida

是一款商业保护软件

用了虚拟机保护技术，在程序中善用SDK

缺点：生成的软件体积有点大

手动脱壳

反调试