软件脱壳

软件如何脱壳,用什么软件脱壳

什么是脱壳技术?在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然（但后来也出现了所谓的“壳中带籽”的壳）。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样，其实都是命名上的方法罢了。从功能上抽象，软件的壳和自然界中的壳相差无几。无非是保护、隐蔽壳内的东西。而从技术的角度出发，壳是一段执行于原始程序前的代码。原始程序的代码在加壳的过程中可能被压缩、加密。当加壳后的文件执行时，壳－这段代码先于原始程序运行，他把压缩、加密后的代码还原成原始程序代码，然后再把执行权交还给原始代码。软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的OEP（入口点，防止被破解）。关于“壳”以及相关软件的发展历史请参阅吴先生的《一切从“壳”开始》。（一）壳的概念作者编好软件后，编译成exe可执行文件。1.有一些版权信息需要保护起来，不想让别人随便改动，如作者的姓名，即为了保护软件不被破解，通常都是采用加壳来进行保护。2.需要把程序搞的小一点，从而方便使用。于是，需要用到一些软件，它们能将exe可执行文件压缩，3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能，这些软件称为加壳软件。（二）加壳软件最常见的加壳软件ASPACK，UPX，PEcompact不常用的加壳软件WWPACK32；PE-PACK；PETITENEOLITE（三）侦测壳和软件所用编写语言的软件，因为脱壳之前要查他的壳的类型。1.侦测壳的软件fileinfo.exe简称fi.exe（侦测壳的能力极强）2.侦测壳和软件所用编写语言的软件language.exe（两个功能合为一体，很棒）推荐中文版（专门检测加壳类型）3.软件常用编写语言Delphi，VisualBasic（VB）---最难破，VisualC（VC）（四）脱壳软件。软件加壳是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具，当然有盾，自然就有矛，只要我们收集全常用脱壳工具，那就不怕他加壳了。软件脱壳有手动脱和自动脱壳之分，下面我们先介绍自动脱壳，因为手动脱壳需要运用汇编语言，要跟踪断点等，不适合初学者，但我们在后边将稍作介绍。加壳一般属于软件加密，现在越来越多的软件经过压缩处理，给汉化带来许多不便，软件汉化爱好者也不得不学习掌握这种技能。现在脱壳一般分手动和自动两种，手动就是用TRW2000、TR、SOFTICE等调试工具对付，对脱壳者有一定水平要求，涉及到很多汇编语言和软件调试方面的知识。而自动就是用专门的脱壳工具来脱，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX；有些不提供这功能，如：ASPACK，就需要UNASPACK对付，好处是简单，缺点是版本更新了就没用了。另外脱壳就是用专门的脱壳工具来对付，最流行的是PROCDUMPv1.62，可对付目前各种压缩软件的压缩档。在这里介绍的是一些通用的方法和工具，希望对大家有帮助。我们知道文件的加密方式，就可以使用不同的工具、不同的方法进行脱壳。下面是我们常常会碰到的加壳方式及简单的脱壳措施，供大家参考：脱壳的基本原则就是单步跟踪，只能往前，不能往后。脱壳的一般流程是：查壳->寻找OEP->Dump->修复找OEP的一般思路如下：先看壳是加密壳还是压缩壳，压缩壳相对来说容易些，一般是没有异常，找到对应的popad后就能到入口，跳到入口的方式一般为。我们知道文件被一些压缩加壳软件加密，下一步我们就要分析加密软件的名称、版本。因为不同软件甚至不同版本加的壳，脱壳处理的方法都不相同。常用脱壳工具：1、文件分析工具（侦测壳的类型）：Fi，GetTyp，peid，pe-scan，2、OEP入口查找工具：SoftICE，TRW，ollydbg，loader，peid3、mp工具：IceDump，TRW，PEditor，ProcDump32，LordPE4、PE文件编辑工具PEditor，ProcDump32，LordPE5、重建ImportTable工具：ImportREC，ReVirgin6、ASProtect脱壳专用工具：Caspr（ASPrV1.1-V1.2有效），Rad（只对ASPrV1.1有效），loader，peid（1）Aspack：用的最多，但只要用UNASPACK或PEDUMP32脱壳就行了（2）ASProtectaspack：次之，国外的软件多用它加壳，脱壳时需要用到SOFTICEICEDUMP，需要一定的专业知识，但最新版现在暂时没有办法。（3）Upx：可以用UPX本身来脱壳，但要注意版本是否一致，用-D参数（4）Armadill：可以用SOFTICEICEDUMP脱壳，比较烦（5）Dbpe：国内比较好的加密软件，新版本暂时不能脱，但可以破解（6）NeoLite：可以用自己来脱壳（7）Pcguard：可以用SOFTICEICEDUMPFROGICE来脱壳（8）Pecompat：用SOFTICE配合PEDUMP32来脱壳，但不要专业知识（9）Petite：有一部分的老版本可以用PEDUMP32直接脱壳，新版本脱壳时需要用到SOFTICEICEDUMP，需要一定的专业知识（10）WWpack32：和PECOMPACT一样其实有一部分的老版本可以用PEDUMP32直接脱壳，不过有时候资源无法修改，也就无法汉化，所以最好还是用SOFTICE配合PEDUMP32脱壳我们通常都会使用Procmp32这个通用脱壳软件，它是一个强大的脱壳软件，他可以解开绝大部分的加密外壳，还有脚本功能可以使用脚本轻松解开特定外壳的加密文件。另外很多时候我们要用到exe可执行文件编辑软件ultraedit。我们可以下载它的汉化注册版本，它的注册机可从网上搜到。ultraedit打开一个中文软件，若加壳，许多汉字不能被认出ultraedit打开一个中文软件，若未加壳或已经脱壳，许多汉字能被认出ultraedit可用来检验壳是否脱掉，以后它的用处还很多，请熟练掌握例如，可用它的替换功能替换作者的姓名为你的姓名注意字节必须相等，两个汉字替两个，三个替三个，不足处在ultraedit编辑器左边用00补。常见的壳脱法：（一）aspack壳脱壳可用unaspack或caspr1.unaspack，使用方法类似lanuage，傻瓜式软件，运行后选取待脱壳的软件即可.缺点：只能脱aspack早些时候版本的壳，不能脱高版本的壳2.caspr第一种：待脱壳的软件（如aa.exe）和caspr.exe位于同一目录下，执行windows起始菜单的运行，键入caspraa.exe脱壳后的文件为aa.ex_，删掉原来的aa.exe，将aa.ex_改名为aa.exe即可。使用方法类似fi优点：可以脱aspack任何版本的壳，脱壳能力极强缺点：Dos界面。第二种：将aa.exe的图标拖到caspr.exe的图标上***若已侦测出是aspack壳，用unaspack脱壳出错，说明是aspack高版本的壳，用caspr脱即可。（二）upx壳脱壳可用upx待脱壳的软件（如aa.exe）和upx.exe位于同一目录下，执行windows起始菜单的运行，键入upx-daa.exe（三）PEcompact壳脱壳用unpecompact使用方法类似lanuage傻瓜式软件，运行后选取待脱壳的软件即可（四）procmp万能脱壳但不精，一般不要用使用方法：运行后，先指定壳的名称，再选定欲脱壳软件，确定即可脱壳后的文件大于原文件由于脱壳软件很成熟，手动脱壳一般用不到。三、压缩与脱壳现在脱壳一般分手动和自动两种，手动就是用TRW2000、TR、SOFTICE等调试工具对付，对脱壳者有一定水平要求。而自动就稍好些，用专门的脱壳工具来脱，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX；有些不提供这功能，如：ASPACK，就需要UNASPACK对付。很多文件使用了一些压缩加壳软件加密过，这就需要对文件进行解压脱壳处理后，才能汉化。这种压缩与我们平时接触的压缩工具如winzip，winrar等压缩不同，winzip和winrar等压缩后的文件不能直接执行，而这种EXE压缩软件，EXE文件压缩后，仍可以运行。这种压缩工具把文件压缩后，会在文件开头一部分，加了一段解压代码。执行时该文件时，该代码先执行解压还原文件，不过这些都是在内存中完成的，由于微机速度快，我们基本感觉不出有什么不同。这样的程序很多，如Thebat，Acdsee，Winxfile等等。要脱壳就应先了解常用压缩工具有哪些，这样知己知彼，如今越来越多的软件商喜欢用压缩方式发行自己的产品，如Thebat！用UPX压缩，ACDSEE3.0用ASPACK压缩等。它有以下因素：一是：微机性能越来越好，执行过程中解压使人感觉不出来，用户能接受（给软件加壳，类似WINZIP的效果，只不过这个加壳压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。解压原理，是加壳工具在文件头里加了一段指令，告诉CPU，怎么才能解压自己。现在的CPU都很快，所以这个解压过程你看不出什么异常。因为软件一下子就打开了，只有你机器配置非常差，才会感觉到不加壳和加壳后的软件运行速度的差别。）。二是：压缩后软件体积缩小，便于网络传输。三是：增加破解的难度。首先，加壳软件不同于一般的winzip，winrar等压缩软件.它是压缩exe可执行文件的，压缩后的文件可以直接运行.而winzip，winrar等压缩软件可压缩任何文件，但压缩后不能直接运行。很多站点不允许上传可执行文件，而只能上传压缩的文件，一方面处于速度考虑，也是为了安全性考虑。用加壳软件压缩的文件就是体积缩小，别的性质没改变。还是EXE文件，仍可执行，只是运行过程和以前不一样了。压缩工具把文件压缩后，在文件开头一部分，加了一段解压代码。执行时该文件时，该代码先执行解压还原文件，不过这些都是在内存中完成的，由于微机速度快，我们基本感觉不出有什么不同。参考资料：./question/14602912.html?si=3

软件如何脱壳

步骤1检测壳壳的概念：所谓“壳”就是专门压缩的工具。这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩，壳的压缩指的是针对exe、com、和dll等程序文件进行压缩，在程序中加入一段如同保护层的代码，使原程序文件代码失去本来面目，从而保护程序不被非法修改和反编译，这段如同保护层的代码，与自然界动植物的壳在功能上有很多相似的地方，所以我们就形象地称之为程序的壳。壳的作用：1.保护程序不被非法修改和反编译。2.对程序专门进行压缩，以减小文件大小，方便传播和储存。壳和压缩软件的压缩的区别是压缩软件只能够压缩程序而经过壳压缩后的exe、com和dll等程序文件可以跟正常的程序一样运行下面来介绍一个检测壳的软件PEIDv0.92这个软件可以检测出450种壳新版中增加病毒扫描功能，是目前各类查壳工具中，性能最强的。另外还可识别出EXE文件是用什么语言编写的VC、Delphi、VB或Delphi等。支持文件夹批量扫描我们用PEID对easymail.exe进行扫描找到壳的类型了UPX0.89.6-1.02/1.05-1.24->Markus&Laszlo说明是UPX的壳下面进行步骤2脱壳对一个加了壳的程序，去除其中无关的干扰信息和保护限制，把他的壳脱去，解除伪装，还原软件本来的面目。这个过程就叫做脱壳。脱壳成功的标志脱壳后的文件正常运行，功能没有损耗。还有一般脱壳后的文件长度都会大于原文件的长度。即使同一个文件，采用不同的脱壳软件进行脱壳，由于脱壳软件的机理不通，脱出来的文件大小也不尽相同。关于脱壳有手动脱壳和自动脱壳自动脱壳就是用专门的脱壳机脱很简单按几下就OK了手动脱壳相对自动脱壳需要的技术含量微高这里不多说了UPX是一种很老而且强大的壳不过它的脱壳机随处就能找到UPX本身程序就可以通过UPX文件名－d来解压缩不过这些需要的命令符中输入优点方便快捷缺点DOS界面为了让大家省去麻烦的操作就产生了一种叫UPXSHELL的外壳软件UPXSHELLv3.09UPX外壳程序！目的让UPX的脱壳加壳傻瓜化注：如果程序没有加壳那么我们就可以省去第二步的脱壳了，直接对软件进行分析了。脱完后我们进行步骤3运行程序尝试注册获取注册相关信息通过尝试注册我们发现一个关键的字符串“序列号输入错误”步骤4反汇编反汇编一般用到的软件都是W32DasmW32dasm对于新手易于上手操作简单W32Dasm有很多版本这里我推荐使用W32Dasm无极版我们现在反汇编WebEasyMail的程序文件easymail.exe然后看看能不能找到刚才的字符串步骤5通过eXeScope这个软件来查看未能在w32dasm中正确显示的字符串信息eXeScopev6.50更改字体，更改菜单，更改对话框的排列，重写可执行文件的资源，包括(EXE，DLL，OCX）等。是方便强大的汉化工具，可以直接修改用VC及DELPHI编制的程序的资源，包括菜单、对话框、字符串表等新版可以直接查看加壳文件的资源我们打开eXeScope找到如下字串符122,"序列号输入错误"123,"恭喜您成为WebEasyMail正式用户中的一员!"124,注册成功125,失败重点是122步骤6再次返回w32dasm*PossibleReferencetoStringResourceID=00122:"?_e?"但是双击后提示说找不到这个字串符不是没有是因为"?_e?"是乱码w32dasm对于中文显示不是太好毕竟不是国产软件先把今天会用到的汇编基本指令跟大家解释一下mova,b;把b的值赋给a，使a＝bcall：调用子程序，子程序以ret结为ret：返回主程序je或jz：若相等则跳转jne或jnz：若不相等则跳转pushxx：xx压栈popxx：xx出栈栈，就是那些由编译器在需要的时候分配，在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等。我们搜索PossibleReferencetoStringResourceID=00122因为对E文支持很好我们来到了*Referencedbya(U)or(C)onditionalJumpatAddress:|:00406F17(C)//跳转来自406F17|*PossibleReferencetoStringResourceID=00125:"1%"|004070DD6A7Dpush0000007D004070DF8D4C2410leaecx,dwordptr[esp10]004070E3E8F75A1200call0052CBDF*PossibleReferencetoStringResourceID=00122:"?_e?"|004070E86A7Apush0000007A004070EA8D4C2408leaecx,dwordptr[esp08]004070EEE8EC5A1200call0052CBDF我们来到00406F01moveax,dwordptr[edi0000086C]这里是对00406F078B4C2408movecx,dwordptr[esp08]00406F0B50pusheax//这两个eax和ecx入栈就比较让我们怀疑了00406F0C51pushecx//产生注册码00406F0DE8AE381100call0051A7C0//这CALL里对注册位应该会有设置00406F1283C40Caddesp,0000000C00406F1585C0testeax,eax//检测注册位00406F17jne004070DD//不存在注册位就会跳到4070DD就会出现那个错误的字串符了我们记住406F01这个地址接着进行下一步步骤7这一步我们进行的是调试用到的软件是ollydbg好了我们找到了注册码0012AF0400FD4A10ASCII""但是这个并不是我们的主要目的我们还要做出属于自己的注册机相信这个是很多人梦寐以求的事情步骤8制作注册机注册机我们需要的是一个KEYMAKE的软件因为2.0是演示版而且停止更新了所以我们用1.73版做一个内存注册机需要下面几个资料中断地址：406F0C中断次数：1第一字节：51指令长度：1好了一个完美的注册机就产生了还不赶快发给你的朋友炫耀一下保证让他迷糊死佩服得你要死其实最后还有几个步骤就是撰写破文不过大家都是新手这个步骤就去了吧不知不觉说了这么多废话希望能对大家有些作用

什么是壳(软件),怎样加壳,怎样脱壳

壳，脱壳，加壳在自然界中，我想大家对壳这东西应该都不会陌生了，由上述故事，我们也可见一斑自然界中植物用它来保护种子，动物用它来保护身体等等同样，在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务就像动植物的壳一般都是在身体外面一样理所当然（但后来也出现了所谓的“壳中带籽”的壳）由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了就像计算机病毒和自然界的病毒一样，其实都是命名上的方法罢了从功能上抽象，软件的壳和自然界中的壳相差无几无非是保护、隐蔽壳内的东西而从技术的角度出发，壳是一段执行于原始程序前的代码原始程序的代码在加壳的过程中可能被压缩、加密当加壳后的文件执行时，壳－这段代码先于原始程序运行，他把压缩、加密后的代码还原成原始程序代码，然后再把执行权交还给原始代码软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的OEP（入口点，防止被破解）关于“壳”以及相关软件的发展历史请参阅吴先生的《一切从“壳”开始》（一）壳的概念作者编好软件后,编译成exe可执行文件1有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等，即为了保护软件不被破解，通常都是采用加壳来进行保护2需要把程序搞的小一点,从而方便使用于是,需要用到一些软件,它们能将exe可执行文件压缩, 3在黑客界给木马等软件加壳脱壳以躲避杀毒软件实现上述功能,这些软件称为加壳软件（二）加壳软件最常见的加壳软件ASPACK ,UPX,PEcompact 不常用的加壳软件WWPACK32；PE-PACK ；PETITE ；NEOLITE（三）侦测壳和软件所用编写语言的软件，因为脱壳之前要查他的壳的类型1侦测壳的软件fileinfoexe 简称fiexe(侦测壳的能力极强) 2侦测壳和软件所用编写语言的软件languageexe(两个功能合为一体,很棒) 推荐中文版（专门检测加壳类型） 3软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC)（四）脱壳软件软件加壳是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的手段目前有很多加壳工具，当然有盾，自然就有矛，只要我们收集全常用脱壳工具，那就不怕他加壳了软件脱壳有手动脱壳和自动脱壳之分，下面我们先介绍自动脱壳，因为手动脱壳需要运用汇编语言，要跟踪断点等，不适合初学者，但我们在后边将稍作介绍加壳一般属于软件加密，现在越来越多的软件经过压缩处理，给汉化带来许多不便，软件汉化爱好者也不得不学习掌握这种技能现在脱壳一般分手动和自动两种，手动就是用TRW2000、TR、SOFTICE等调试工具对付，对脱壳者有一定水平要求，涉及到很多汇编语言和软件调试方面的知识而自动就是用专门的脱壳工具来脱，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX；有些不提供这功能，如：ASPACK，就需要UNASPACK对付，好处是简单，缺点是版本更新了就没用了另外脱壳就是用专门的脱壳工具来对付，最流行的是PROCDUMP v162 ，可对付目前各种压缩软件的压缩档在这里介绍的是一些通用的方法和工具，希望对大家有帮助我们知道文件的加密方式，就可以使用不同的工具、不同的方法进行脱壳下面是我们常常会碰到的加壳方式及简单的脱壳措施，供大家参考： 脱壳的基本原则就是单步跟踪，只能往前，不能往后脱壳的一般流程是:查壳->寻找OEP->Dump->修复 找OEP的一般思路如下： 先看壳是加密壳还是压缩壳，压缩壳相对来说容易些，一般是没有异常，找到对应的popad后就能到入口，跳到入口的方式一般为我们知道文件被一些压缩加壳软件加密，下一步我们就要分析加密软件的名称、版本因为不同软件甚至不同版本加的壳，脱壳处理的方法都不相同常用脱壳工具： 1、文件分析工具（侦测壳的类型）：Fi,GetTyp,peid，pe-scan， 2、OEP入口查找工具：SoftICE,TRW,ollydbg,loader,peid 3、mp工具：IceDump,TRW,PEditor,ProcDump32,LordPE 4、PE文件编辑工具：PEditor,ProcDump32,LordPE 5、重建Import Table工具：ImportREC,ReVirgin 6、ASProtect脱壳专用工具：Caspr(ASPr V11-V12有效)，Rad(只对ASPr V11有效),loader,peid(1)Aspack: 用的最多，但只要用UNASPACK或PEDUMP32脱壳就行了 (2)ASProtectaspack: 次之，国外的软件多用它加壳，脱壳时需要用到SOFTICEICEDUMP，需要一定的专业知识，但最新版现在暂时没有办法(3)Upx: 可以用UPX本身来脱壳，但要注意版本是否一致，用-D 参数 (4)Armadill: 可以用SOFTICEICEDUMP脱壳，比较烦 (5)Dbpe: 国内比较好的加密软件，新版本暂时不能脱，但可以破解 (6)NeoLite: 可以用自己来脱壳 (7)Pcguard: 可以用SOFTICEICEDUMPFROGICE来脱壳 (8)Pecompat: 用SOFTICE配合PEDUMP32来脱壳，但不要专业知识 (9)Petite: 有一部分的老版本可以用PEDUMP32直接脱壳，新版本脱壳时需要用到SOFTICEICEDUMP，需要一定的专业知识 (10)WWpack32: 和PECOMPACT一样其实有一部分的老版本可以用PEDUMP32直接脱壳，不过有时候资源无法修改，也就无法汉化，所以最好还是用SOFTICE配合 PEDUMP32脱壳 我们通常都会使用Procmp32这个通用脱壳软件，它是一个强大的脱壳软件，他可以解开绝大部分的加密外壳，还有脚本功能可以使用脚本轻松解开特定外壳的加密文件另外很多时候我们要用到exe可执行文件编辑软件ultraedit我们可以下载它的汉化注册版本,它的注册机可从网上搜到ultraedit打开一个中文软件,若加壳,许多汉字不能被认出 ultraedit打开一个中文软件,若未加壳或已经脱壳,许多汉字能被认出 ultraedit可用来检验壳是否脱掉,以后它的用处还很多,请熟练掌握例如,可用它的替换功能替换作者的姓名为你的姓名注意字节必须相等,两个汉字替两个,三个替三个,不足处在ultraedit编辑器左边用00补