加壳 - 尊旭网

什么是木马加壳

一.穿马甲—木马加壳的实现
什么是加壳？
所谓加壳.其实是指利用特殊的算法.对EXE. DLL文件里的资派进行压缩的方法.这个压绷之后的文件可以独立运行.解压过程完全a蔽.都在内存中完成。加壳一般有两种用途:
一是大部分的程序是因为防止反跟踪.防止程序被人跟踪调试，防止算法程序不思被别人静态分析。加密代码和数据.保护程序效据的完枯性，不被修改或者窥说程序的像代码。
二是将一些恶愈程序包装起来.进过杀雌软件的监视。从而实现自己的fl的.如加壳后的木马程序。显然.我们这里的加壳主要是针对第二种情况。
2.加壳实战
听起来.加壳是个很复杂的操作.但实际上我们并不循要自己去编写加壳程序来为谏程序进行加充。日蔺.成热的、免费的第三方加先程序非常多.如UPX. WWPACK等等。使用这些程序。只需进行简单的设置.就可以对自己的软件进行加壳。比方说灰鸽子的服务器端就是使用UPX加壳的。
那么.是不是加了壳的水马就能够成功的躲过任何杀毒软件的监控呢?事实上.在没有脱壳之前。的确能够发理壳内谏代码的杀毒软件还不多.但是一且加壳的木马被执行之后。完成了脱光的过程.那么跟踪内存的杀毒软件会很快的发现内存中正在运行中的木马.最后将之杀掉。实际上。国内很多杀毒软件已经拿握了检洲加壳恶愈程序的技术。如.在从服务器中下载加壳的木马服务器端程序时.就会弹出如I'd所示的提示。
从图中可以粉出.Setup.cxe文件中包括了加壳技术已经被检侧出来了。那么.恶愈程序是如何实现加光的呢?木马加壳的技术实际上很简单.当一个服务器劝的EXE程序生成好后.111以很轻松地利用ASPACK, UPX, WWPACK等这些第三方的程序进行加壳操作。下面.让我们来村肴如何使用AS Pack汉化版对一个程序进行加壳，其体过程是:
第1步：下载ASPack汉化版.
第2步：在“选项.设it界面中.在语言一列表中选择"Chinese"项.使软件界面转为汉化形式.如图所示。
第3步：在“打开文件一界面中.将准备进行加壳的程序添加进来.这哄添加的是压编程序Winter.如图所示。
第4步：在完成软件的添加后.将立即跳转到.压缩’界面中，此时可以肴到软件的加光操作己经开始。如图所示。
第5步：在完成加壳后.可以单击“压缩.界面中的.侧试.按钮.侧试一下加了壳后的程序能否运行。如果出现程序界面.荆表示加壳成功。如果是对恶愈程序进行加壳.一般就不要点击了.否."1稗后工作将会很萦琐。如图所示。
与加壳相反的过程称之为.脱壳二n的是把加壳后的程序恢艾成毫无包装的可执行代码，这样未授权都可以对其进行修改。“脱壳’的过程与.加壳，的探作栩似.沮不同是的“加壳.
软件.需要使用不间的“脱壳.软件。人役者必裕知进目标程序使用的是哪种.加光，软件进行加壳的.然后再用对应的“脱充.软件进行脱壳即可。简单地来说.加壳与脱壳就相当于加密和
解密的关系。

什么是木马加壳？

知道怎么给文件脱壳吗?谢谢

分类: 电脑/网络 >> 操作系统/系统故障
解析:

常用的文件脱壳方法

如果你要实现软件的DIY，最常见的一个必须做的步骤是——给文件进行脱壳。各个文件的壳，从而达到修改其资源的目的。所以花了点时间，把自己电脑里的脱壳软件做了点整理。

不过话又说回来。光是PEID能侦察到的壳的种类就有超过450种，所以要做到每一种的脱壳方法都讲清楚，那是不可能的，所以我精选了最常见的几种壳来做说明。

好了，不说废话了，进入主题，免得挨同学们骂：）

第一部分：查壳。

要想脱掉一个文件的壳，就要先了解到到底他穿的是金钟罩，还是铁布衫。

所以这里就要用到两种工具：

1，FileInfo 这个就不介绍了吧，连这咚咚都不知道的，我就真的没有语言了

2，peid 功能极为强大的，集脱壳和查壳为一体的软件，其本身不仅能察看文件加壳的类型，还能察看编写软件所使用的程序，如VC，VB，DEPHI等等，更变态的是，他自身所带的插件还能脱壳，汉化新世纪有11月21号更新的最新加强版。脱壳游戏要是没了它，我看还是别玩了，呵呵。

第二部分：查找切入口（这部分是进阶高手使用手动脱壳所必备的，对初手来说没有必要，不过为了完整性，还是发上来了）

这里所要用的的两种工具就是：

1，Blast Wave 2000

2，Asp_Loader

软件就不介绍了，因为。。。。一直在电脑里面，从来没用过，不知道该怎么用

第三部分：脱壳。（按照壳的强度排序）

1，ASProtect，说他是加壳软件里的泰山北斗丝毫不过分，不过其强度不及tElock ，引用我们flying的原话：ASProtect 开创了壳的新时代。

针对这种壳，要脱掉，就要用到以下两个软件：

1）ASprStripper

2）CASPR

特别说明的是，第一种是用来脱ASProtect1.2x的壳，第二种是用来脱ASProtect1.2以前版本的壳的，脱之前看清楚就行了。

2，tElock壳，汉化界的千年老妖，梁利峰前辈开发的点睛字传替换器就是加的这个壳，这个壳曾经被人说成是“绝对防御”，他的出名，就在于他曾经让无数的的脱壳高手抓掉了大半的头发

不过后来，heXer写的untElock 终于结束了tElock的神话。。。

3，ASPack壳，目前最常见的壳，8层以上的软件都加的这个，不过这也是个很好脱掉的壳，直接用Aspackdie脱掉就行了。

4，UPX，也是比较常见的壳，其脱壳方法是最简单的，直接使用UPX的加壳软件的解压缩就能脱掉，不过，必须要特别说明一点的是，解压缩只能脱UPX的标准壳，要是遇到经过处理过后的UPX壳的话就不奏效了，这个时候就要用到另外一个修复UPX壳的软件：Upxfix了。用他将UPX的壳恢复成标准壳后再进行脱壳就没有问题了。

还有一件事情要特别说明的就是：前两天有人问我金山的壳怎么脱，我直接就回答用UPX解压来脱，不过后来，在我运行脱壳后的EXE文件的时候，却一直无法运行，可能就是因为金山用的UPX的非标准壳，不知道那位兄台脱壳后能否正常运行？还是我电脑的问题？不过我还是要为我的思考不周和仓促作答郑重的道歉。

好了，目前常见到的主流壳就这么多了，不过，在以前汉化软件的时候，还零散的遇到了一些其他的壳，在这里将他们的脱壳方法一起发上来，脱壳软件就不介绍了

1，幻影壳：使用undbpe。

2，Armadillo壳：使用dillodumper

3，Kryton壳：使用Krykiller

4，VFP程序：使用VFP&EXE Unpacker和VFP General Unpacker

5，SafeDisc壳：使用Safedisc Cleaner

最后是PRO32，一个已经被我打如冷宫的脱壳软件，现在我也基本上只用他来重建PE结构了，但是脱壳功能依然强大，能够脱掉大多数老式壳，可惜不更新了，真可惜。

第四部分：建议

建议1：大家先使用PEID试着脱壳，无法脱的时候再试PRO32，最后不行了的话再使用各种不同的有针对性的脱壳软件。

建议2：每遇到一个新鲜的没有见过的壳的时候，在网上查找他的脱壳方法，做好资源的收集和整理，相信以后不论什么样的壳都难不倒你了。

建议3：自认为这帖已经是目前先锋比较完善的关于文件脱壳的帖子了，有类似问题的也请善用搜索功能，这帖多少能够帮到你的，就不要再发重复的询问帖了，为论坛节约点空间嘛。。

建议4：大家要是遇到什么新奇的壳，可别忘了PM告诉我哦。。THX了

差不多就是这么多了，最后说几句话，因为脱壳多而不少的都涉及到软件的POJIE和ZHUCE，所以下载地址不方便发上来，软件版本号也做了隐藏，有需要的朋友可以自行网上查找。

文件的加壳、脱壳有什么用

加壳是用来保护软件的。脱壳是用来破解软件的。
加壳脱壳一般是病毒用到的技术为了防止杀毒软件查杀。
该一部分代码可以蒙混住杀毒软件。
脱壳就是吧特定的代码改回来，还原程序的原貌
加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段.
加壳过的程序可以直接运行,但是不能查看源代码.要经过脱壳才可以查看源代码.

软件如何脱壳,用什么软件脱壳

什么是脱壳技术?在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然（但后来也出现了所谓的“壳中带籽”的壳）。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样，其实都是命名上的方法罢了。从功能上抽象，软件的壳和自然界中的壳相差无几。无非是保护、隐蔽壳内的东西。而从技术的角度出发，壳是一段执行于原始程序前的代码。原始程序的代码在加壳的过程中可能被压缩、加密。当加壳后的文件执行时，壳－这段代码先于原始程序运行，他把压缩、加密后的代码还原成原始程序代码，然后再把执行权交还给原始代码。软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的OEP（入口点，防止被破解）。关于“壳”以及相关软件的发展历史请参阅吴先生的《一切从“壳”开始》。（一）壳的概念作者编好软件后，编译成exe可执行文件。1.有一些版权信息需要保护起来，不想让别人随便改动，如作者的姓名，即为了保护软件不被破解，通常都是采用加壳来进行保护。2.需要把程序搞的小一点，从而方便使用。于是，需要用到一些软件，它们能将exe可执行文件压缩，3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能，这些软件称为加壳软件。（二）加壳软件最常见的加壳软件ASPACK，UPX，PEcompact不常用的加壳软件WWPACK32；PE-PACK；PETITENEOLITE（三）侦测壳和软件所用编写语言的软件，因为脱壳之前要查他的壳的类型。1.侦测壳的软件fileinfo.exe简称fi.exe（侦测壳的能力极强）2.侦测壳和软件所用编写语言的软件language.exe（两个功能合为一体，很棒）推荐中文版（专门检测加壳类型）3.软件常用编写语言Delphi，VisualBasic（VB）---最难破，VisualC（VC）（四）脱壳软件。软件加壳是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具，当然有盾，自然就有矛，只要我们收集全常用脱壳工具，那就不怕他加壳了。软件脱壳有手动脱和自动脱壳之分，下面我们先介绍自动脱壳，因为手动脱壳需要运用汇编语言，要跟踪断点等，不适合初学者，但我们在后边将稍作介绍。加壳一般属于软件加密，现在越来越多的软件经过压缩处理，给汉化带来许多不便，软件汉化爱好者也不得不学习掌握这种技能。现在脱壳一般分手动和自动两种，手动就是用TRW2000、TR、SOFTICE等调试工具对付，对脱壳者有一定水平要求，涉及到很多汇编语言和软件调试方面的知识。而自动就是用专门的脱壳工具来脱，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX；有些不提供这功能，如：ASPACK，就需要UNASPACK对付，好处是简单，缺点是版本更新了就没用了。另外脱壳就是用专门的脱壳工具来对付，最流行的是PROCDUMPv1.62，可对付目前各种压缩软件的压缩档。在这里介绍的是一些通用的方法和工具，希望对大家有帮助。我们知道文件的加密方式，就可以使用不同的工具、不同的方法进行脱壳。下面是我们常常会碰到的加壳方式及简单的脱壳措施，供大家参考：脱壳的基本原则就是单步跟踪，只能往前，不能往后。脱壳的一般流程是：查壳->寻找OEP->Dump->修复找OEP的一般思路如下：先看壳是加密壳还是压缩壳，压缩壳相对来说容易些，一般是没有异常，找到对应的popad后就能到入口，跳到入口的方式一般为。我们知道文件被一些压缩加壳软件加密，下一步我们就要分析加密软件的名称、版本。因为不同软件甚至不同版本加的壳，脱壳处理的方法都不相同。常用脱壳工具：1、文件分析工具（侦测壳的类型）：Fi，GetTyp，peid，pe-scan，2、OEP入口查找工具：SoftICE，TRW，ollydbg，loader，peid3、mp工具：IceDump，TRW，PEditor，ProcDump32，LordPE4、PE文件编辑工具PEditor，ProcDump32，LordPE5、重建ImportTable工具：ImportREC，ReVirgin6、ASProtect脱壳专用工具：Caspr（ASPrV1.1-V1.2有效），Rad（只对ASPrV1.1有效），loader，peid（1）Aspack：用的最多，但只要用UNASPACK或PEDUMP32脱壳就行了（2）ASProtectaspack：次之，国外的软件多用它加壳，脱壳时需要用到SOFTICEICEDUMP，需要一定的专业知识，但最新版现在暂时没有办法。（3）Upx：可以用UPX本身来脱壳，但要注意版本是否一致，用-D参数（4）Armadill：可以用SOFTICEICEDUMP脱壳，比较烦（5）Dbpe：国内比较好的加密软件，新版本暂时不能脱，但可以破解（6）NeoLite：可以用自己来脱壳（7）Pcguard：可以用SOFTICEICEDUMPFROGICE来脱壳（8）Pecompat：用SOFTICE配合PEDUMP32来脱壳，但不要专业知识（9）Petite：有一部分的老版本可以用PEDUMP32直接脱壳，新版本脱壳时需要用到SOFTICEICEDUMP，需要一定的专业知识（10）WWpack32：和PECOMPACT一样其实有一部分的老版本可以用PEDUMP32直接脱壳，不过有时候资源无法修改，也就无法汉化，所以最好还是用SOFTICE配合PEDUMP32脱壳我们通常都会使用Procmp32这个通用脱壳软件，它是一个强大的脱壳软件，他可以解开绝大部分的加密外壳，还有脚本功能可以使用脚本轻松解开特定外壳的加密文件。另外很多时候我们要用到exe可执行文件编辑软件ultraedit。我们可以下载它的汉化注册版本，它的注册机可从网上搜到。ultraedit打开一个中文软件，若加壳，许多汉字不能被认出ultraedit打开一个中文软件，若未加壳或已经脱壳，许多汉字能被认出ultraedit可用来检验壳是否脱掉，以后它的用处还很多，请熟练掌握例如，可用它的替换功能替换作者的姓名为你的姓名注意字节必须相等，两个汉字替两个，三个替三个，不足处在ultraedit编辑器左边用00补。常见的壳脱法：（一）aspack壳脱壳可用unaspack或caspr1.unaspack，使用方法类似lanuage，傻瓜式软件，运行后选取待脱壳的软件即可.缺点：只能脱aspack早些时候版本的壳，不能脱高版本的壳2.caspr第一种：待脱壳的软件（如aa.exe）和caspr.exe位于同一目录下，执行windows起始菜单的运行，键入caspraa.exe脱壳后的文件为aa.ex_，删掉原来的aa.exe，将aa.ex_改名为aa.exe即可。使用方法类似fi优点：可以脱aspack任何版本的壳，脱壳能力极强缺点：Dos界面。第二种：将aa.exe的图标拖到caspr.exe的图标上***若已侦测出是aspack壳，用unaspack脱壳出错，说明是aspack高版本的壳，用caspr脱即可。（二）upx壳脱壳可用upx待脱壳的软件（如aa.exe）和upx.exe位于同一目录下，执行windows起始菜单的运行，键入upx-daa.exe（三）PEcompact壳脱壳用unpecompact使用方法类似lanuage傻瓜式软件，运行后选取待脱壳的软件即可（四）procmp万能脱壳但不精，一般不要用使用方法：运行后，先指定壳的名称，再选定欲脱壳软件，确定即可脱壳后的文件大于原文件由于脱壳软件很成熟，手动脱壳一般用不到。三、压缩与脱壳现在脱壳一般分手动和自动两种，手动就是用TRW2000、TR、SOFTICE等调试工具对付，对脱壳者有一定水平要求。而自动就稍好些，用专门的脱壳工具来脱，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX；有些不提供这功能，如：ASPACK，就需要UNASPACK对付。很多文件使用了一些压缩加壳软件加密过，这就需要对文件进行解压脱壳处理后，才能汉化。这种压缩与我们平时接触的压缩工具如winzip，winrar等压缩不同，winzip和winrar等压缩后的文件不能直接执行，而这种EXE压缩软件，EXE文件压缩后，仍可以运行。这种压缩工具把文件压缩后，会在文件开头一部分，加了一段解压代码。执行时该文件时，该代码先执行解压还原文件，不过这些都是在内存中完成的，由于微机速度快，我们基本感觉不出有什么不同。这样的程序很多，如Thebat，Acdsee，Winxfile等等。要脱壳就应先了解常用压缩工具有哪些，这样知己知彼，如今越来越多的软件商喜欢用压缩方式发行自己的产品，如Thebat！用UPX压缩，ACDSEE3.0用ASPACK压缩等。它有以下因素：一是：微机性能越来越好，执行过程中解压使人感觉不出来，用户能接受（给软件加壳，类似WINZIP的效果，只不过这个加壳压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。解压原理，是加壳工具在文件头里加了一段指令，告诉CPU，怎么才能解压自己。现在的CPU都很快，所以这个解压过程你看不出什么异常。因为软件一下子就打开了，只有你机器配置非常差，才会感觉到不加壳和加壳后的软件运行速度的差别。）。二是：压缩后软件体积缩小，便于网络传输。三是：增加破解的难度。首先，加壳软件不同于一般的winzip，winrar等压缩软件.它是压缩exe可执行文件的，压缩后的文件可以直接运行.而winzip，winrar等压缩软件可压缩任何文件，但压缩后不能直接运行。很多站点不允许上传可执行文件，而只能上传压缩的文件，一方面处于速度考虑，也是为了安全性考虑。用加壳软件压缩的文件就是体积缩小，别的性质没改变。还是EXE文件，仍可执行，只是运行过程和以前不一样了。压缩工具把文件压缩后，在文件开头一部分，加了一段解压代码。执行时该文件时，该代码先执行解压还原文件，不过这些都是在内存中完成的，由于微机速度快，我们基本感觉不出有什么不同。参考资料：./question/14602912.html?si=3

怎么给软件加壳.

可以使用Virbox Protector工具进行加壳。主要有以下功能优点。加壳后的软件可以达到很高强度的安全强度。1、防反编译2、防注入3、防调试4、一键加密，无需编程5、碎片化代码6、虚拟化代码7、自动代码移植8、代码混淆加密流程：登录云平台帐号---申请转正---下载定制SDK---加壳注册帐号后，建议您提交转正，转正后深思会提供定制化的SDK，确保每个开发商授权都是唯一的，这可以保护软件的安全性。