软件脱壳(软件脱壳后怎么破解)-趣虎号

软件如何脱壳

步骤1检测壳

壳的概念：

所谓“壳”就是专门压缩的工具。

这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩，壳的压缩指的是针对exe、com、和dll等程序文件进行压缩，在程序中加入一段如同保护层的代码，使原程序文件代码失去本来面目，从而保护程序不被非法修改和反编译，这段如同保护层的代码，与自然界动植物的壳在功能上有很多相似的地方，所以我们就形象地称之为程序的壳。

壳的作用：

1.保护程序不被非法修改和反编译。

2.对程序专门进行压缩，以减小文件大小，方便传播和储存。

壳和压缩软件的压缩的区别是

压缩软件只能够压缩程序

而经过壳压缩后的exe、com和dll等程序文件可以跟正常的程序一样运行

下面来介绍一个检测壳的软件

PEIDv0.92

这个软件可以检测出450种壳

新版中增加病毒扫描功能，是目前各类查壳工具中，性能最强的。

另外还可识别出EXE文件是用什么语言编写的VC、Delphi、VB或Delphi等。

支持文件夹批量扫描

我们用PEID对easymail.exe进行扫描

找到壳的类型了

UPX0.89.6-1.02/1.05-1.24->Markus&粗首Laszlo

说明是UPX的壳

下面进行

步骤2脱壳

对一个加了壳的程序，去除其中无关的干扰信息和保护限制，把他的壳脱去，解除伪装，还原软件本来的面目。这个过程就叫做脱壳。

脱壳成功的标志

脱壳后的文件正常运行，功能没有损耗。

还有一般脱壳后的文件长度都会大于原文件的长度。

即使同一个文件，采用不同的脱壳软件进行脱壳，由于脱壳软件的机理不通，脱出来的文件大小也不尽相同。

关于脱壳有手动脱壳和自动脱壳

自动脱壳就是用专门的脱壳机脱很简单按几下就OK了

手动脱壳相对自动脱壳需要的技术含量微高这里不多说了

UPX是一种很老而且强大的壳不过它的脱壳机随处就能找到

UPX本身程序就可以通过

UPX文件名－d

来解压缩不过这些需要的命令符中输入

优点方便凯凳圆快捷缺点DOS界面

为了让大家省去麻烦的操作就产生了一种叫UPXSHELL的外壳软件

UPXSHELLv3.09

UPX外壳程序！

目的让UPX的脱壳加壳傻瓜化

注：如果程序没有加壳那么我们就可以省去第二步的脱壳了，直接对软件进行分析了。

脱完后我们进行

步骤3

运行程序

尝试注册

获取注册相关信息

通过尝试注册我们发现一个关键的字符串

“序列号输入错误”

步骤4

反汇编

反汇编一般用到的软件都是W32Da*

W32da*对于新手易于上手操作简单

W32Da*有很多版本这里我推荐使用W32Da*无极版

我们现在反汇编WebEasyMail的程序文件easymail.exe

然后看看能不能找到刚才的字符串

步骤5

通过eXeScope这个软件来查看未能在w32da*中正确显示的字符串信息

eXeScopev6.50

更改字体，更改菜单，更改对话框的排列，重写可执行文件的资源，包括(EXE，DLL，OCX）等。是方便强大的汉化工具，可以直接修改用VC及DELPHI编制的程序的资源，包括菜单、对话框、字符串表等

新版可以直接查看加壳文件的资源

我们打开eXeScope

找到如下字串符

122,"序列号输入错误"

123,"恭喜您成为WebEasyMail正式用户中的一员!"

124,注册成功

125,失败

重点是122

步骤6

再次返回w32da*

*PossibleReferencetoStringResourceID=00122:"?_e?"

但是双击后

提示说找不到这个字串符

不是没有是因为"?_e?"是乱码w32da*对于中文显示不是太好

软件脱壳(软件脱壳后怎么破解)(图1)

毕竟不是国产软件

先把今天会用到的汇编基本指令跟大家解释一下

mova,b;把b的值赋给a，使a＝b

call：调用子程序，子程序以ret结为

ret：返回主程序

je或jz：若相等则跳转

jne或jnz：若不相等则跳转

pushxx：xx压栈

popxx：xx出栈

栈，就是那些由编译器在需要的时候分配，在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等盯塌。

我们搜索

PossibleReferencetoStringResourceID=00122

因为对E文支持很好

我们来到了

*Referencedbya(U)or(C)onditionalJumpatAddress:

|:00406F17(C)//跳转来自406F17

*PossibleReferencetoStringResourceID=00125:"1%"

004070DD6A7Dpush0000007D

004070DF8D4C2410leaecx,dwordptr[esp10]

004070E3E8F75A1200call0052CBDF

*PossibleReferencetoStringResourceID=00122:"?_e?"

004070E86A7Apush0000007A

004070EA8D4C2408leaecx,dwordptr[esp08]

004070EEE8EC5A1200call0052CBDF

我们来到

00406F01moveax,dwordptr[edi0000086C]这里是对

00406F078B4C2408movecx,dwordptr[esp08]

00406F0B50pusheax//这两个eax和ecx入栈就比较让我们怀疑了

00406F0C51pushecx//产生注册码

00406F0DE8AE381100call0051A7C0//这CALL里对注册位应该会有设置

00406F1283C40Caddesp,0000000C

00406F1585C0testeax,eax//检测注册位

00406F17jne004070DD//不存在注册位就会跳到4070DD就会出现那个错误的字串符了

我们记住406F01这个地址

接着进行下一步

步骤7

这一步我们进行的是调试

用到的软件是ollydbg

好了我们找到了注册码0012AF0400FD4A10ASCII""

但是这个并不是我们的主要目的

我们还要做出属于自己的注册机

相信这个是很多人梦寐以求的事情

步骤8

制作注册机

注册机我们需要的是一个KEYMAKE的软件

因为2.0是演示版而且停止更新了

所以我们用1.73版

做一个内存注册机需要下面几个资料

中断地址：406F0C

中断次数：1

第一字节：51

指令长度：1

好了一个完美的注册机就产生了

还不赶快发给你的朋友炫耀一下

保证让他迷糊死佩服得你要死

其实最后还有几个步骤

就是撰写破文

不过大家都是新手这个步骤就去了吧

不知不觉说了这么多废话希望能对大家有些作用

如何对.EXE文件进行脱壳

1、首先需要双击打开下载好的peid软件，点击软件file后面的三个点按钮来打开要查壳的软件。

2、然后找到并点闷镇击要查壳的exe程序。

3、在软件下孝罩笑方可以看到要脱壳软件所加的壳，这里是ASPack 2.12。

4、下载aspack专用的脱壳软巧含件，双击打开。

5、找们要脱壳的exe软件，点击打开。

6、这样，在被脱壳的软件目录里就会出现unpacked.exe文件，即为脱壳后的文件。

软件“脱壳”是什么意思

软件脱壳，顾名思义，就是对软件加壳的逆操作，把软件上存在的壳去掉。在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为"壳"了态橘。就像计算机病毒和自然界的病毒一样，其实都是命名上的方法罢了。

在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们帆铅团保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的"壳中带籽"的壳)。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为"壳"。软件加壳是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具，既然有盾，自然就有矛，脱壳即去掉软件所加的壳，软件脱壳有手动脱和自激脊动脱壳之分。