软件的壳和壳的含义、概念以及加壳和脱壳方法

软件的壳和壳的含义、概念以及加壳和脱壳方法

	PE（Portable Executable） 也就是EXE和DL)文件所具有的起压缩、加密、保护作用的东西。可以用PEiD等软件查壳。

加壳通过修改程序入口点等压缩、加密、保护EXE和DL.
在自然界中，我想大家对壳这东西应该都不会陌生了，由上述故事，我们也可见一斑。自然界中植物用它来保护种子，动物用它来保护身体等等。
软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的0EP(入口点，防止被破解)。关于“壳"以及相关软件的发展历史请参阅吴先生的<一切从“壳"开始》。

(一)壳的概念

作者编好软件后，编译成exe可执行文件。.
1.有一些版权信息需要保护起来，不想让别人随便改动，如作者的姓名，即为了保护软件不被破解，通常都是采用加壳来进行保护。
2.需要把程序搞的小一点，从而方便使用。于是，需要用到一些软件，它们能将exe可执行文件压缩，
3.在黑容界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能.这些软件称为加壳软件。

(二)加壳软件最常见的加壳软件

ASPACK，UPX, PEcompact不常用的加壳软件WWPACK32; PE-PACK ，PETITE、NEOLITE

(三)侦测壳和软件所用编写语言的软件

因为脱壳之前要查他的壳的类型。
1.侦测壳的软件fileinfo.exe简称f.exe (侦测壳的能力极强)。
2.侦测壳和软件所用编写语言的软件language.exe (两个功能合为一体，很棒)，推荐
language2000中文版(专门检测加壳类型)。
3.软件常用编写语言Delphi, VisualBasic (VB) -最难破，VisualC (VC) 。

常用脱壳工具
1.文件分析工具(侦测壳的类型) : Fi, GetTyp, peid, pe-scan,
2.0EP入口查找工具: SoftICE， TRW, ollydbg, loader, peid
3.dump工具: IceDump，TRW，PEditor， ProcDump32， LordPE
4.PE文件编辑工具PEditor，ProcDump32， LordPE
5重建Import Table 工具: ImportREC， ReVirgin
6.ASProtect脱壳专用工具: Caspr (ASPr V1.1-V1.2有效)，Rad (只对ASPr V1.1有效)，
loader，peid
(1) Aspack: 用的最多，但只要用UNASPACK或PEDUMP32脱壳就行了
(2) ASProtect+aspack: 次之，国外的软件多用它加壳，脱壳时需要用到
SOFTICE+ICEDUMP，需要-定的专业知识，但最新版现在暂时没有办法。
(3) Upx: 可以用UPX本身来脱壳，但要注意版本是否一致，用-D参数
(4) Armadill:可以用SOFTICE+ICEDUMP脱壳，比较烦
(5) Dbpe:国内比较好的加密软件，新版本暂时不能脱，但可以破解
(6) NeoLite: 可以用自己来脱壳
(7) Pcguard: 可以用SOFTICE+ICEDUMP+FROGICE来脱壳
(8) Pecompat:用SOFTICE配合PEDUMP32来脱壳，但不要专业知识
(9) Petite: 有一部分的老版本可以用PEDUMP32直接脱壳，新版本脱壳时需要用到
SOFTICE+ICEDUMP，需要-定的专业知识。
(10) WWpack32:和PECOMPACT -样其实有一部分的老版本可以用PEDUMP32直接脱壳,不过有时候资源无法修改,也就无法汉化,所以最好还是用SOFTICE配合PEDUMP32脱壳

我们通常都会使用Procdump32这个通用脱壳软件，它是一个 强大的脱壳软件，他可以解开
绝大部分的加密外壳，还有脚本功能可以使用脚本轻松解开特定外壳的加密文件。另外很多
时候我们要用到exe可执行文件编辑软件ultraedit.我们可以下载它的汉化注册版本，它的
注册机可从网上搜到。ultraedit 打开一个中文软件，若加壳，许多汉字不能被认出ultraedit
打开一个中文软件，若未加壳或已经脱壳，许多汉字能被认出ultraedit可用来检验壳是否脱
掉，以后它的用处还很多，请熟练掌握例如，可用它的替换功能替换作者的姓名为你的姓名
注意字节必须相等，两个汉字替两个，三个替三个，不足处在ultraedit编辑器左边用00补。

常见的壳脱法:
1.aspack壳脱壳可用unaspack或caspr 1.unaspack ，使用方法类似lanuage,傻瓜式软件，
运行后选取待脱壳的软件即可.缺点:只能脱aspack早些时候版本的壳，不能脱高版本的壳
2.caspr第一种:待脱壳的软件(如aa.exe)和casprexe
位于同一目录下，执行windows
起始菜单的运行，键入caspr aa.exe脱壳后的文件为aa.ex_ ,删掉原来的aa.exe,将aa.ex_
改名为aa.exe即可。使用方法类似fi优点:可以脱aspack任何版本的壳，脱壳能力极强缺点
： Dos界面。第二种:将aa.exe的图标拖到caspr.exe的图标.上***若已侦测出是aspack
壳，用unaspack脱壳出错，说明是aspack高版本的壳，用caspr脱即可。
3.upx壳脱壳可用upx待脱壳的软件(如aa.exe)和upx.exe位于同一目录下，执行windows
起始菜单的运行，键入upx -d aa.exe
4.PEcompact壳脱壳用unpecompact使用方法类似lanuage傻瓜式软件,运行后选取待脱壳
的软件即可。
5.procdump万能脱壳但不精，一般不要用使用方法:运行后，先指定壳的名称，再选定欲脱
壳软件，确定即可脱壳后的文件大于原文件由于脱壳软件很成熟，手动脱壳一般用不到。 .