软件的壳和壳的含义、概念以及加壳和脱壳方法

软件的壳和壳的含义、概念以及加壳和脱壳方法

PE（Portable Executable） 也就是EXE和DL)文件所具有的起压缩、加密、保护作用的东西。可以用PEiD等软件查壳。

加壳通过修改程序入口点等压缩、加密、保护EXE和DL.

在自然界中，我想大家对壳这东西应该都不会陌生了，由上述故事，我们也可见一斑。自然界中植物用它来保护种子，动物用它来保护身体等等。

软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的0EP(入口点，防止被破解)。关于“壳"以及相关软件的发展历史请参阅吴先生的<一切从“壳"开始》。

(一)壳的概念

作者编好软件后，编译成exe可执行文件。.

1.有一些版权信息需要保护起来，不想让别人随便改动，如作者的姓名，即为了保护软件不被破解，通常都是采用加壳来进行保护。

2.需要把程序搞的小一点，从而方便使用。于是，需要用到一些软件，它们能将exe可执行文件压缩，

3.在黑容界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能.这些软件称为加壳软件。

(二)加壳软件最常见的加壳软件

ASPACK，UPX, PEcompact不常用的加壳软件WWPACK32; PE-PACK ，PETITE、NEOLITE

(三)侦测壳和软件所用编写语言的软件

因为脱壳之前要查他的壳的类型。

1.侦测壳的软件fileinfo.exe简称f.exe (侦测壳的能力极强)。

2.侦测壳和软件所用编写语言的软件language.exe (两个功能合为一体，很棒)，推荐

language2000中文版(专门检测加壳类型)。

3.软件常用编写语言Delphi, VisualBasic (VB) -最难破，VisualC (VC) 。

常用脱壳工具

1.文件分析工具(侦测壳的类型) : Fi, GetTyp, peid, pe-scan,

2.0EP入口查找工具: SoftICE， TRW, ollydbg, loader, peid

3.dump工具: IceDump，TRW，PEditor， ProcDump32， LordPE

4.PE文件编辑工具PEditor，ProcDump32， LordPE

5重建Import Table 工具: ImportREC， ReVirgin

6.ASProtect脱壳专用工具: Caspr (ASPr V1.1-V1.2有效)，Rad (只对ASPr V1.1有效)，

loader，peid

(1) Aspack: 用的最多，但只要用UNASPACK或PEDUMP32脱壳就行了

(2) ASProtect+aspack: 次之，国外的软件多用它加壳，脱壳时需要用到

SOFTICE+ICEDUMP，需要-定的专业知识，但最新版现在暂时没有办法。

(3) Upx: 可以用UPX本身来脱壳，但要注意版本是否一致，用-D参数

(4) Armadill:可以用SOFTICE+ICEDUMP脱壳，比较烦

(5) Dbpe:国内比较好的加密软件，新版本暂时不能脱，但可以破解

(6) NeoLite: 可以用自己来脱壳

(7) Pcguard: 可以用SOFTICE+ICEDUMP+FROGICE来脱壳

(8) Pecompat:用SOFTICE配合PEDUMP32来脱壳，但不要专业知识

(9) Petite: 有一部分的老版本可以用PEDUMP32直接脱壳，新版本脱壳时需要用到

SOFTICE+ICEDUMP，需要-定的专业知识。

(10) WWpack32:和PECOMPACT -样其实有一部分的老版本可以用PEDUMP32直接脱壳,不过有时候资源无法修改,也就无法汉化,所以最好还是用SOFTICE配合PEDUMP32脱壳

我们通常都会使用Procdump32这个通用脱壳软件，它是一个 强大的脱壳软件，他可以解开

绝大部分的加密外壳，还有脚本功能可以使用脚本轻松解开特定外壳的加密文件。另外很多

时候我们要用到exe可执行文件编辑软件ultraedit.我们可以下载它的汉化注册版本，它的

注册机可从网上搜到。ultraedit 打开一个中文软件，若加壳，许多汉字不能被认出ultraedit

打开一个中文软件，若未加壳或已经脱壳，许多汉字能被认出ultraedit可用来检验壳是否脱

掉，以后它的用处还很多，请熟练掌握例如，可用它的替换功能替换作者的姓名为你的姓名

注意字节必须相等，两个汉字替两个，三个替三个，不足处在ultraedit编辑器左边用00补。

常见的壳脱法:

1.aspack壳脱壳可用unaspack或caspr 1.unaspack ，使用方法类似lanuage,傻瓜式软件，

运行后选取待脱壳的软件即可.缺点:只能脱aspack早些时候版本的壳，不能脱高版本的壳

2.caspr第一种:待脱壳的软件(如aa.exe)和casprexe

位于同一目录下，执行windows

起始菜单的运行，键入caspr aa.exe脱壳后的文件为aa.ex_ ,删掉原来的aa.exe,将aa.ex_

改名为aa.exe即可。使用方法类似fi优点:可以脱aspack任何版本的壳，脱壳能力极强缺点

： Dos界面。第二种:将aa.exe的图标拖到caspr.exe的图标.上***若已侦测出是aspack

壳，用unaspack脱壳出错，说明是aspack高版本的壳，用caspr脱即可。

3.upx壳脱壳可用upx待脱壳的软件(如aa.exe)和upx.exe位于同一目录下，执行windows

起始菜单的运行，键入upx -d aa.exe

4.PEcompact壳脱壳用unpecompact使用方法类似lanuage傻瓜式软件,运行后选取待脱壳

的软件即可。

5.procdump万能脱壳但不精，一般不要用使用方法:运行后，先指定壳的名称，再选定欲脱

壳软件，确定即可脱壳后的文件大于原文件由于脱壳软件很成熟，手动脱壳一般用不到。 .