脱殼

從技術的角度出發，殼是一段執行於原始程序前的代碼。原始程序的代碼在加殼的過程中可能被壓縮、加密……當加殼後的文件執行時，殼－這段代碼先於原始程序運行，他把壓縮、加密後的代碼還原成原始程序代碼，然後再把執行權交還給原始代碼。軟件的殼分為加密殼、壓縮殼、偽裝殼、多層殼等類，目的都是為了隱藏程序真正的OEP（入口點，防止被破解）。

作者編好軟件後，編譯成exe可執行文件。1.有一些版權信息需要保護起來，不想讓別人隨便改動，如作者的姓名，即為了保護軟件不被破解，通常都是採用加殼來進行保護。2.需要把程序搞的小一點，從而方便使用。於是，需要用到一些軟件，它們能將exe可執行文件壓縮。3.在黑客界給木馬等軟件加殼脱殼以躲避殺毒軟件。實現上述功能，這些軟件稱為加殼軟件。

加殼一般屬於軟件加密，越來越多的軟件經過壓縮處理，給漢化帶來許多不便，軟件漢化愛好者也不得不學習掌握這種技能。脱殼一般分手動和自動兩種，手動就是用TRW2000、TR、SOFTICE等調試工具對付，對脱殼者有一定水平要求，涉及到很多彙編語言和軟件調試方面的知識。而自動就是用專門的脱殼工具來脱，最常用某種壓縮軟件都有他人寫的反壓縮工具對應，有些壓縮工具自身能解壓，如UPX；有些不提供這功能，如：ASPACK，就需要UNASPACK對付，好處是簡單，缺點是版本更新了就沒用了。另外脱殼就是用專門的脱殼工具來對付，最流行的是PROCDUMP v1.62 ，可對付各種壓縮軟件的壓縮檔。在這裏介紹的是一些通用的方法和工具，希望對大家有幫助。我們知道文件的加密方式，就可以使用不同的工具、不同的方法進行脱殼。下面是我們常常會碰到的加殼方式及簡單的脱殼措施，供大家參考：脱殼的基本原則就是單步跟蹤，只能往前，不能往後。脱殼的一般流程是：查殼-＞尋找OEP-＞Dump-＞修復。找OEP的一般思路如下： 先看殼是加密殼還是壓縮殼，壓縮殼相對來説容易些，一般是沒有異常，找到對應的popad後就能到入口，跳到入口的方式一般為：jmp OEP、push OEP ret、call OEP，當然也有其它的，如je OEP等等，一般都是段之間的大跳轉，OD的反彙編窗口裏都是同一個段的內容，所以更好區別是否是段間跳轉。我們知道文件被一些壓縮加殼軟件加密，下一步我們就要分析加密軟件的名稱、版本。因為不同軟件甚至不同版本加的殼，脱殼處理的方法都不相同。

1、文件分析工具（偵測殼的類型）：Fi，GetTyp，peid，pe-scan，

2、OEP入口查找工具：SoftICE，TRW，ollydbg，loader，peid

3、dump工具：IceDump，TRW，PEditor，ProcDump32，LordPE

4、PE文件編輯工具PEditor，ProcDump32，LordPE

5、重建Import Table工具：ImportREC，ReVirgin

6、ASProtect脱殼專用工具：Caspr（ASPr V1.1-V1.2有效），Rad（只對ASPr V1.1有效），loader，peid（1）Aspack：用的最多，但只要用UNASPACK或PEDUMP32脱殼就行了

（2）ASProtect+aspack：次之，國外的軟件多用它加殼，脱殼時需要用到SOFTICE+ICEDUMP，需要一定的專業知識。

（3）Upx：可以用UPX本身來脱殼，但要注意版本是否一致，用-D參數

（4）Armadill：可以用SOFTICE+ICEDUMP脱殼，比較煩

（5）Dbpe：國內比較好的加密軟件，新版本暫時不能脱，但可以破解

（6）NeoLite：可以用自己來脱殼

（7）Pcguard：可以用SOFTICE+ICEDUMP+FROGICE來脱殼

（8）Pecompat：用SOFTICE配合PEDUMP32來脱殼，但不要專業知識

（9）Petite：有一部分的老版本可以用PEDUMP32直接脱殼，新版本脱殼時需要用到SOFTICE+ICEDUMP，需要一定的專業知識

（10）WWpack32：和PECOMPACT一樣其實有一部分的老版本可以用PEDUMP32直接脱殼，不過有時候資源無法修改，也就無法漢化，所以最好還是用SOFTICE配合 PEDUMP32脱殼 我們通常都會使用Procdump32這個通用脱殼軟件，它是一個強大的脱殼軟件，他可以解開絕大部分的加密外殼，還有腳本功能可以使用腳本輕鬆解開特定外殼的加密文件。另外很多時候我們要用到exe可執行文件編輯軟件ultraedit。我們可以下載它的漢化註冊版本，它的註冊機可從網上搜到。ultraedit打開一箇中文軟件，若加殼，許多漢字不能被認出ultraedit打開一箇中文軟件，若未加殼或已經脱殼，許多漢字能被認出ultraedit可用來檢驗殼是否脱掉，以後它的用處還很多，請熟練掌握例如，可用它的替換功能替換作者的姓名為你的姓名注意字節必須相等，兩個漢字替兩個，三個替三個，不足處在ultraedit編輯器左邊用00補。

1、aspack殼：脱殼可用unaspack或caspr。（1）unaspack ，使用方法類似lanuage，傻瓜式軟件，運行後選取待脱殼的軟件即可。缺點：只能脱aspack早些時候版本的殼，不能脱高版本的殼。（2）caspr，第一種：待脱殼的軟件（如aa.exe）和caspr.exe位於同一目錄下，執行windows起始菜單的運行，鍵入caspr aa.exe脱殼後的文件為aa.ex_，刪掉原來的aa.exe，將aa.ex_改名為aa.exe即可。使用方法類似fi優點：可以脱aspack任何版本的殼，脱殼能力極強缺點：Dos界面。第二種：將aa.exe的圖標拖到caspr.exe的圖標上***若已偵測出是aspack殼，用unaspack脱殼出錯，説明是aspack高版本的殼，用caspr脱即可。

2、upx殼：脱殼可用upx待脱殼的軟件（如aa.exe）和upx.exe位於同一目錄下，執行windows起始菜單的運行，鍵入upx -d aa.exe。

3、PEcompact殼：脱殼用unpecompact 使用方法類似lanuage傻瓜式軟件，運行後選取待脱殼的軟件即可。

4、procdump：萬能脱殼但不精，一般不要用，使用方法：運行後，先指定殼的名稱，再選定欲脱殼軟件，確定即可，脱殼後的文件大於原文件，由於脱殼軟件很成熟，手動脱殼一般用不到。

加殼軟件最常見的加殼軟件ASPACK ，UPX，PEcompact，不常用的加殼軟件WWPACK32，PE-PACK，PETITE NEOLITE。

偵測殼和軟件所用編寫語言的軟件，因為脱殼之前要查他的殼的類型。

1.偵測殼的軟件fileinfo.exe，簡稱fi.exe（偵測殼的能力極強）；2.偵測殼和軟件所用編寫語言的軟件language.exe（兩個功能合為一體，很棒），推薦language2000中文版（專門檢測加殼類型）；3.軟件常用編寫語言Delphi，VisualBasic（VB）---最難破，VisualC（VC）。