壳附加在原始程序上,通过Windows加载器载入内存后,先于原始程序执行,一得到和控制权,在执行过程中对原始程序进行解密、还原,还原后把控制权还给原始程序,执行原来的代码。
压缩壳
UPX:以命令行方式操作的可执行文件压缩程序,兼容性和稳定性很好。
命令行格式:
upx [-123456789dlthVL] [-qvfk] [-o file] file..
加密壳
ASProtect
拥有压缩、加密、反跟踪代码、CRC校验和花指令等保护措施。
Armadillo:商业保护软件,
在加壳是会扫描程序,处理标签里的跳转指令,将所有跳转指令换成INT 3 指令(CC保护)
虚拟机保护软件(VMProtect)
VMP适用于VC 、Delphi、 VB、ASM 等本地编译的目标程序,支持EXE 、 DLL、 SYS。