软件加壳脱壳技术教程

晓の蝎

首先来看看加壳的工具：

压缩工具

ASPack 2.12 Regged   Aspack 2.12b Demo	一款非常强大的win 32压缩工具。   http://www.aspack.com/
UPX v1.00   UPX v1.25   UPX v2.00   UPX v2.02   UPX v2.03      upx-1.25-src.tar.gz   upx-2.02-src.tar.gz	一款优秀并且免费的win 32经典压缩工具。   http://upx.sourceforge.net/	UPX ShellEx v1.10  :UPX 的外壳程序，与  Windows 外壳的无缝链接，使得所有的操作简单到极点，它也许是您迄今为止见过得最好用的 UPX 外壳程序。 dREAMtHEATER   http://dreamtheater.reg365.com/
		UPX Shell v0.98:dREAMtHEATER早期写的一款UPX 的外壳程序
PeCompact 2.40 retail   PECompact.v2.70._Final	一款优秀的win 32压缩工具。
(Win)Upack 0.32beta   (Win)Upack 0.36beta   (Win)Upack 0.39final   (Win)Upack 0.399	一款压缩比不错的国产压缩工具。   官方站点：http://www.wex.cn/dwing/
Petite 2.2	一款优秀的win 32压缩工具。
NsPack v3.7	北斗数据压缩软件，支持.net程序   http://www.nsdsn.com
FSG 2.0	一款压缩比不错的壳

加密保护（Protectors）

ASProtect 1.2   ASProtect 1.23RC!SDK   ASProtect 1.31 build06.14   ASProtect 1.32 Beta build 10.20   ASProtect 1.33 build 03.07      ASProtect 1.35  Keygenerator-TMG   ASProtect 1.35 build 04.25 Release      ASProtect 2.0 build 01.13   ASProtect 2.0 Build 06.23 Alpha      ASProtect SKE 2.11 03.13.crk      ASProtect SKE v2.x Keygen-ECLiPSE      ASProtect.SKE 2.2 build 04.25 Release      ASProtect.SKE 2.3 build 03.19 beta.crk   ASProtect.SKE 2.3 build 04.26.beta.汉化版   ASProtect.SKE 2.3 build 05.14 beta   ASProtect.SKE.v2.41.Build.02.26   ASProtect.SKE 2.51 09.22 Beta	这个壳在pack界当选老大是毫无异议的，当然这里的老大不仅指它的加密强度，而是在于它开创了壳的新时代，SEH,BPM断点的清除都出自这里，更为有名的当属RSA的使用，使得Demo版无法被crack成完整版本,code_dips也源于这里。IAT的处理即使到到现在看来也是很强的。他的特长在于各种加密算法的运用，这也是各种壳要学习的地方。      特点：兼容性与稳定性最好，商业软件应用的很广大。      ASProtect 1.x系列，低版本用Stripper工具可自动脱壳。   ASProtect SKE 2.x强度大大提高，主要是高级输入保护，特别是抽OEP、SDK。      ASProtect.v.1.35.Keygen适用于04.25以前版本。   ASProtect.v.2.x.Keygen适用于2.2/2.3 0514以前版本。   注册时：初始界面里输入ASP字符，再进入注册框。      注意：这款名气太大，研究的也多，因此对于脱壳者来说，也没啥强度了。
ACProtect v1.09g   ACProtect v1.32   ACProtect v1.41.crk   ACProtect 2.0	国产壳，该壳变形做得好，强度还不错。   http://www.ultraprotect.com/
Armadillo Custom 3.77.0021   Armadillo Custom 3.78.0194   Armadillo Custom 4.00.0230   Armadillo Custom 4.40.0250   Armadillo Custom 6.04.0447   Armadillo Professional Custom  v7.00.0081	一款优秀的保护软件！可以运用各种手段来保护你的软件，同时也可以为软件加上种种限制，包括时间、次数，启动画面等等！很多商用软件采用其加壳。   Armadillo4.1的使用说明: http://bbs.pediy.com/showthread.php?s=&threadid=18116      http://www.siliconrealms.com/      注意：只有Custom才有完整的功能，Public版没什么强度，不建议采用。需要研究Public的，请到FTP下载。
Dbpe 2.20   Dbpe 2.33	D.boy的幻影，很久没更新了。此款壳己有脱壳机。   长时间不更新，不推荐。
The Enigma Protector 1.02   The Enigma Protector 1.55	一款新壳，稳定性和兼容性待加密。不推荐。      http://www.enigma.xost.net/
EXECryptor 1.5.3   EXECryptor 2.0.26   EXECrypter 2.1.1   EXECryptor 2.2.5.1   EXECryptor 2.2.6   EXECryptor 2.2.6_Crk	一款强度不错的猛壳，推荐。   Registration Name: Rick Bonfim   Serial number: MC82T-WXLL4-YBLLY-C3RCU-M33JR   可以注册EXECryptor V2.26之前的版本      http://www.strongbit.com/execryptor.asp
EXE Stealth 2.75a	EXE可执行文件加密工具,程序支持CRC保护,API重定向,删除EXE文件头信息等功能
FoxLock 2.00 Beta1	FoxLock 可以在加密原代码的同时，将VFP的可执行文件转化成普通的PE文件，可以用其他PE压缩工具如幻影、铁甲、UPX、Aspack、Asprotect、TeLock等再次加密。
Krypton 0.2   Krypton 0.3   Krypton 0.4   Krypton 0.5	这个壳的anti一般，使用了多线程(首次在壳中出现？)。it处理还可以，但强度不够。   http://www.lockless.com   注意：长时间不更新，稳定性兼容性不是很好，不推荐商业软件采用。
MoleBox PRO build 2.3600	MoleBox 是一款实时 EXE 封包工具，可以将 Windows 平台上的应用程序与其辅助数据及运行组件合成封包为一个单一的文件，封包后的文件仍能完好运行。
MSLRH v0.31a	强度弱，内核用UPX压缩引擎，可以当作UNpackMe练练手
Obsidium 1.0   Obsidium 1.1   Obsidium 1.2   Obsidium 1.2.5.0_Cr   Obsidium 1.3   Obsidium 1.3_Cr   Obsidium 1.3.0.4_reg   Obsidium_1.3.6.4	一款优秀的壳，强度中等，它可以分块加密，对EXE重定位等。      http://www.obsidium.de/
PC Guard v4.06c	一款加密保护的壳
PE-Armor V0.74   PE-Armor V0.765	作者Hying，PE-Armor这款壳作者是不对外散发的，这个版本是2004年的，由内部散发出来的。PE-Armor新版壳强度达到中上，在《软件加密技术内幕》这本书中Hying以PE-Armor 0.46为例，讲解了如何编写加壳程序。
PELock v1.06	pelock应该是上边所有壳的综合，it,rsa,anti,clear breakpiont,seh,都用到了，而且是第一个可以在98下检测出icedump的壳。   在这个壳中第一次使用了clear  code,encrypt code(这个其是最早在utralprotect中用到),lock code(from asprotect).使的他的程序更难dump.   http://www.pelock.prv.pl/
PESpin 0.1   PESpin 0.3   PESpin 0.7   PESpin 1.0   PESpin 1.1   PESpin 1.3   PESpin 1.304   PESpin 1.32   PESpin 1.33	PESpin是一个小巧易用的软件加密(加壳)工具，具有调试器检测、API 重   定位、反进程转储保护、删除OEP、密码保护、压缩资源、去除.reloc区   段、去除重叠、限定程序运行时间功能。算是中等强度壳。不过兼容性稳定性不太好。   http://www.vmprotect.ru/   http://pespin.w.interia.pl/
PowerShield 简易版 v1.00	专门加密PowerBuilder程序。   http://bbs.pediy.com/showthread.php?s=&threadid=15544
Private exe Protector v3.14	本程序为软件开发人员提供诸如反逆向引擎、分析、修改和破解等软件保护措施。PeP 使用多态变形引擎（防止嗅探工具探测特征码），LZMA 压缩算法，高级反调试器方法，虚拟输入表，入口点抽取字节，偷取资源技术
SDProtector 1.16	一款国内的加密壳，强度中等，兼容性欠佳。注意这个版本不要在开启超线程的CPU运行，否则非法。
SVK Protector demo 1.32   SVK Protector 1.43 retail	这个壳的有着深厚的背景,那就是anticracking.sk,与damon,elize,等一大批传说中的人物有着密切的关系，但是这个壳的anti和 it的处理都不够理想，我想可能跟作者的coding能力有关吧。驱动在这个程序中使用比较熟练。
ThemIDA Files    Themida 1.0.0.8正式版   Themida 1.2.0.1正式版   Themida 1.3.5.5正式版   Themida 1.5.0.0正式版   Themida 1.5.3.0正式版   Themida 1.7.3.0正式版   Themida 1.8.0.0正式版   Themida 1.8.5.5正式版      Winlicense Files   WinLicense 1.4.0.2   WinLicense 1.8.5.5   WinLicense2.1.0.10	一款优秀的商业保护壳，强度非常高。和WinLicense这款壳是同一公司的一个系列产品，WinLicense主要多了一个协议，可以设定使用时间，运行次数等功能，两者核心保护是一样的。      Themida 1.0.0.8：带驱动保护，1.1以后各版本就去除此功能了      Themida Files：是基本文件(内含XBundler插件)，Themida各版本都需要   Winlicense Files：是基本文件(内含XBundler插件)，WinLicense各版本都需要。            http://www.oreans.com
tElock 0.98	这个壳也是大名鼎鼎，但是它除了anti之外一无是处，虽然it的修复确实让人头痛了好一阵子，于此形成讽刺意义的是其实它的it 一段时间内在memory中是完整的。它可以看成是aspr的一个clone版。
VProtector 1.1A   VProtector 1.20   VProtect 1.3 Compile	作者：vcasm   一款不错的保护壳，多线程运用的很熟练。
Xtreme-Protector 1.05   Xtreme-Protector 1.08	这个可以说是目前最强悍的壳，也是驱动程序使用最为熟练的一个壳，驱动有解码，anti的作用，多线程解码,RUNTIME解码,繁多的花指令。用SOFTICE脱这个壳基本是不可能的!除非用一个不依靠INT3、INT1  和 DRX来下断点的调试器....   www.oreans.com/xprotector/
Yoda's Protector v1.03.2 Beta2   Yoda's Protector v1.03.3	一款加密保护的壳   http://yodap.has.it/
ZProtect.1.4.9.0	Zprotect用来保护您的软件产品不被破解，拥有简单易用的许可控制系统，您无需更改任何代码，即可为您的软件添加注册机制。

下面是脱壳工具：

脱壳工具

文件类型侦测工具
peid 0.94	现在软件越来越多的加壳了，给破解带来非常大的不便，用这个软件可以检测出常见的各种壳，非常方便。更新签名库及部分插件。2008/1/1
DIE 0.64	另一款文件工具   http://hellspawn.nm.ru
FileInfo v3.01r   FileInfo_v4.01	经分析，FI是各类查壳工具中，性能最强的。   但 由于其长时间没更新，其识别文件的数据库比较旧了，己不能识别各种新壳了。
OEP查找工具
Blast Wave 2000  v0.2	D.boy冲击波2000，仅工作在Windows9x/ME系统,它能轻易的找到任何加密壳的入口点.包括ASProtect以及幻影的加密壳.   注：对于现在的加密壳，此款工具己完全失效。
Asp_Loader	fs0的查找ASProtect v1.2x早期版本入口点工具，对于更高些版本，此工具失效。
去除壳的试用期限制
Trial-Reset v4.0	可以去除大多数壳的试用时间限制。
通用脱壳工具
File Scanner	简称FS，是一款通用脱壳工具。支持UPX、PECompact、WWPACK和PEPACK等常见的壳，并可优化脱壳后的文件。   用法：fs  [<options>] <文件路径> [<options>]   例如：   脱壳 fs -u 文件名   优化 fs -rn -spl 文件名

文中只列出了一部分，附件中有更详细的，欢迎下载！

落晔

谢LZ分享,努力学习.....

barber

正好想学编程

烁宇轩

谢谢LZ，分享。。学到了额。。。呵呵！还是沙发哈。。

scorpiolxd

doc文档阿。。。我还以为是动画视频呢

nightwish12075

这个帖子好老，现在是SE和VMP的天下

提线木偶

是不是全部汉化的，不然的话，如何使用是个问题

Kido

怎么感觉跟pediy那边的那个这么像= =

Ｋiζs~乄

看雪的？

kuwo911

很不错的资料  感谢提供分享

a070458

貌似和看雪那边的很相似。。。