在自然界中，我想大家對(duì)殼這東西應(yīng)該都不會(huì)陌生了，由上述故事，我們也可見(jiàn)一斑。自然界中植物用它來(lái)保護(hù)種子，動(dòng)物用它來(lái)保護(hù)身體等等。同樣，在一些計(jì)算機(jī)軟件里也有一段專門(mén)負(fù)責(zé)保護(hù)軟件不被非法修改或反編譯的程序。它們一般都是先于程序運(yùn)行，拿到控制權(quán)，然后完成它們保護(hù)軟件的任務(wù)。就像動(dòng)植物的殼一般都是在身體外面一樣理所當(dāng)然（但后來(lái)也出現(xiàn)了所謂的“殼中帶籽”的殼）。由于這段程序和自然界的殼在功能上有很多相同的地方，基于命名的規(guī)則，大家就把這樣的程序稱為“殼”了。就像計(jì)算機(jī)病毒和自然界的病毒一樣，其實(shí)都是命名上的方法罷了。 從功能上抽象，軟件的殼和自然界中的殼相差無(wú)幾。無(wú)非是保護(hù)、隱蔽殼內(nèi)的東西。而從技術(shù)的角度出發(fā)，殼是一段執(zhí)行于原始程序前的代碼。原始程序的代碼在加殼的過(guò)程中可能被壓縮、加密……。當(dāng)加殼后的文件執(zhí)行時(shí)，殼－這段代碼先于原始程序運(yùn)行，他把壓縮、加密后的代碼還原成原始程序代碼，然后再把執(zhí)行權(quán)交還給原始代碼。 軟件的殼分為加密殼、壓縮殼、偽裝殼、多層殼等類，目的都是為了隱藏程序真正的OEP（入口點(diǎn)，防止被破解）。關(guān)于“殼”以及相關(guān)軟件的發(fā)展歷史請(qǐng)參閱吳先生的《一切從“殼”開(kāi)始》。 （一）殼的概念 作者編好軟件后，編譯成exe可執(zhí)行文件。
1.有一些版權(quán)信息需要保護(hù)起來(lái)，不想讓別人隨便改動(dòng)，如作者的姓名，即為了保護(hù)軟件不被破解，通常都是采用加殼來(lái)進(jìn)行保護(hù)。
2.需要把程序搞的小一點(diǎn)，從而方便使用。于是，需要用到一些軟件，它們能將exe可執(zhí)行文件壓縮，
3.在黑客界給木馬等軟件加殼脫殼以躲避殺毒軟件。實(shí)現(xiàn)上述功能，這些軟件稱為加殼軟件。 （二）加殼軟件最常見(jiàn)的加殼軟件 ASPACK ，UPX，PEcompact 不常用的加殼軟件WWPACK32；PE-PACK ；PETITE NEOLITE （三）偵測(cè)殼和軟件所用編寫(xiě)語(yǔ)言的軟件 因?yàn)槊摎ぶ耙樗臍さ念愋汀?
1.偵測(cè)殼的軟件fileinfo.exe 簡(jiǎn)稱fi.exe（偵測(cè)殼的能力極強(qiáng)）。
2.偵測(cè)殼和軟件所用編寫(xiě)語(yǔ)言的軟件language.exe（兩個(gè)功能合為一體，很棒），推薦language2000中文版（專門(mén)檢測(cè)加殼類型）。
3.軟件常用編寫(xiě)語(yǔ)言Delphi，VisualBasic（VB）---最難破，VisualC（VC）。 （四）脫殼軟件 軟件加殼是作者寫(xiě)完軟件后，為了保護(hù)自己的代碼或維護(hù)軟件產(chǎn)權(quán)等利益所常用到的手段。目前有很多加殼工具，當(dāng)然有盾，自然就有矛，只要我們收集全常用脫殼工具，那就不怕他加殼了。軟件脫殼有手動(dòng)脫和自動(dòng)脫殼之分，下面我們先介紹自動(dòng)脫殼，因?yàn)槭謩?dòng)脫殼需要運(yùn)用匯編語(yǔ)言，要跟蹤斷點(diǎn)等，不適合初學(xué)者，但我們?cè)诤筮厡⑸宰鹘榻B。 加殼一般屬于軟件加密，現(xiàn)在越來(lái)越多的軟件經(jīng)過(guò)壓縮處理，給漢化帶來(lái)許多不便，軟件漢化愛(ài)好者也不得不學(xué)習(xí)掌握這種技能?，F(xiàn)在脫殼一般分手動(dòng)和自動(dòng)兩種，手動(dòng)就是用TRW2000、TR、SOFTICE等調(diào)試工具對(duì)付，對(duì)脫殼者有一定水平要求，涉及到很多匯編語(yǔ)言和軟件調(diào)試方面的知識(shí)。而自動(dòng)就是用專門(mén)的脫殼工具來(lái)脫，最常用某種壓縮軟件都有他人寫(xiě)的反壓縮工具對(duì)應(yīng)，有些壓縮工具自身能解壓，如UPX；有些不提供這功能，如：ASPACK，就需要UNASPACK對(duì)付，好處是簡(jiǎn)單，缺點(diǎn)是版本更新了就沒(méi)用了。另外脫殼就是用專門(mén)的脫殼工具來(lái)對(duì)付，最流行的是PROCDUMP v1.62 ，可對(duì)付目前各種壓縮軟件的壓縮檔。在這里介紹的是一些通用的方法和工具，希望對(duì)大家有幫助。我們知道文件的加密方式，就可以使用不同的工具、不同的方法進(jìn)行脫殼。下面是我們常常會(huì)碰到的加殼方式及簡(jiǎn)單的脫殼措施，供大家參考： 脫殼的基本原則就是單步跟蹤，只能往前，不能往后。脫殼的一般流程是：查殼->尋找OEP->Dump->修復(fù) 找OEP的一般思路如下： 先看殼是加密殼還是壓縮殼，壓縮殼相對(duì)來(lái)說(shuō)容易些，一般是沒(méi)有異常，找到對(duì)應(yīng)的popad后就能到入口，跳到入口的方式一般為。 我們知道文件被一些壓縮加殼軟件加密，下一步我們就要分析加密軟件的名稱、版本。因?yàn)椴煌浖踔敛煌姹炯拥臍?，脫殼處理的方法都不相同? 常用脫殼工具： 1.文件分析工具（偵測(cè)殼的類型）：Fi，GetTyp，peid，pe-scan，
2.OEP入口查找工具：SoftICE，TRW，ollydbg，loader，peid
3.dump工具：IceDump，TRW，PEditor，ProcDump32，LordPE
4.PE文件編輯工具PEditor，ProcDump32，LordPE
5.重建Import Table工具：ImportREC，ReVirgin
6.ASProtect脫殼專用工具：Caspr（ASPr V1.1-V1.2有效），Rad（只對(duì)ASPr V1.1有效），loader，peid
（1）Aspack： 用的最多，但只要用UNASPACK或PEDUMP32脫殼就行了
（2）ASProtect aspack：次之，國(guó)外的軟件多用它加殼，脫殼時(shí)需要用到SOFTICE ICEDUMP，需要一定的專業(yè)知識(shí)，但最新版現(xiàn)在暫時(shí)沒(méi)有辦法。
（3）Upx： 可以用UPX本身來(lái)脫殼，但要注意版本是否一致，用-D 參數(shù)
（4）Armadill： 可以用SOFTICE ICEDUMP脫殼，比較煩
（5）Dbpe： 國(guó)內(nèi)比較好的加密軟件，新版本暫時(shí)不能脫，但可以破解
（6）NeoLite： 可以用自己來(lái)脫殼
（7）Pcguard： 可以用SOFTICE ICEDUMP FROGICE來(lái)脫殼
（8）Pecompat： 用SOFTICE配合PEDUMP32來(lái)脫殼，但不要專業(yè)知識(shí)
（9）Petite： 有一部分的老版本可以用PEDUMP32直接脫殼，新版本脫殼時(shí)需要用到SOFTICE ICEDUMP，需要一定的專業(yè)知識(shí) 。 （10）WWpack32： 和PECOMPACT一樣其實(shí)有一部分的老版本可以用PEDUMP32直接脫殼，不過(guò)有時(shí)候資源無(wú)法修改，也就無(wú)法漢化，所以最好還是用SOFTICE配合 PEDUMP32脫殼 我們通常都會(huì)使用Procdump32這個(gè)通用脫殼軟件，它是一個(gè)強(qiáng)大的脫殼軟件，他可以解開(kāi)絕大部分的加密外殼，還有腳本功能可以使用腳本輕松解開(kāi)特定外殼的加密文件。另外很多時(shí)候我們要用到exe可執(zhí)行文件編輯軟件ultraedit。我們可以下載它的漢化注冊(cè)版本，它的注冊(cè)機(jī)可從網(wǎng)上搜到。ultraedit打開(kāi)一個(gè)中文軟件，若加殼，許多漢字不能被認(rèn)出 ultraedit打開(kāi)一個(gè)中文軟件，若未加殼或已經(jīng)脫殼，許多漢字能被認(rèn)出 ultraedit可用來(lái)檢驗(yàn)殼是否脫掉，以后它的用處還很多，請(qǐng)熟練掌握例如，可用它的替換功能替換作者的姓名為你的姓名注意字節(jié)必須相等，兩個(gè)漢字替兩個(gè)，三個(gè)替三個(gè)，不足處在ultraedit編輯器左邊用00補(bǔ)。 常見(jiàn)的殼脫法： 1.aspack殼 脫殼可用unaspack或caspr 1.unaspack ，使用方法類似lanuage，傻瓜式軟件，運(yùn)行后選取待脫殼的軟件即可. 缺點(diǎn)：只能脫aspack早些時(shí)候版本的殼，不能脫高版本的殼 2.caspr第一種：待脫殼的軟件（如aa.exe）和caspr.exe位于同一目錄下，執(zhí)行windows起始菜單的運(yùn)行，鍵入 caspr aa.exe脫殼后的文件為aa.ex_，刪掉原來(lái)的aa.exe，將aa.ex_改名為aa.exe即可。使用方法類似fi 優(yōu)點(diǎn)：可以脫aspack任何版本的殼，脫殼能力極強(qiáng)缺點(diǎn)：Dos界面。第二種：將aa.exe的圖標(biāo)拖到caspr.exe的圖標(biāo)上***若已偵測(cè)出是aspack殼，用unaspack脫殼出錯(cuò)，說(shuō)明是aspack高版本的殼，用caspr脫即可。 2.upx殼 脫殼可用upx待脫殼的軟件（如aa.exe）和upx.exe位于同一目錄下，執(zhí)行windows起始菜單的運(yùn)行，鍵入upx -d aa.exe。 3.PEcompact殼 脫殼用unpecompact 使用方法類似lanuage傻瓜式軟件，運(yùn)行后選取待脫殼的軟件即可。 4.procdump 萬(wàn)能脫殼但不精，一般不要用 使用方法：運(yùn)行后，先指定殼的名稱，再選定欲脫殼軟件，確定即可脫殼后的文件大于原文件由于脫殼軟件很成熟，手動(dòng)脫殼一般用不到。

最新評(píng)論