如何对.EXE文件进行脱壳?

1、首先需要双击打开下载好的peid软件，点击软件file后面的三个点按钮来打开要查壳的软件。

2、然后找到并点击要查壳的exe程序。

3、在软件下方可以看到要脱壳软件所加的壳，这里是ASPack 2.12。

4、下载aspack专用的脱壳软件，双击打开。

5、找们要脱壳的exe软件，点击打开。

6、这样，在被脱壳的软件目录里就会出现unpacked.exe文件，即为脱壳后的文件。

分类: 电脑/网络 >> *** 作系统/系统故障

解析:

常用的文件脱壳方法

如果你要实现软件的DIY，最常见的一个必须做的步骤是——给文件进行脱壳。各个文件的壳，从而达到修改其资源的目的。所以花了点时间，把自己电脑里的脱壳软件做了点整理。

不过话又说回来。光是PEID能侦察到的壳的种类就有超过450种，所以要做到每一种的脱壳方法都讲清楚，那是不可能的，所以我精选了最常见的几种壳来做说明。

好了，不说废话了，进入主题，免得挨同学们骂：）

第一部分：查壳。

要想脱掉一个文件的壳，就要先了解到到底他穿的是金钟罩，还是铁布衫。

所以这里就要用到两种工具：

1，FileInfo 这个就不介绍了吧，连这咚咚都不知道的，我就真的没有语言了

2，peid 功能极为强大的，集脱壳和查壳为一体的软件，其本身不仅能察看文件加壳的类型，还能察看编写软件所使用的程序，如VC，VB，DEPHI等等，更变态的是，他自身所带的插件还能脱壳 ，汉化新世纪有11月21号更新的最新加强版。脱壳游戏要是没了它，我看还是别玩了，呵呵。

第二部分：查找切入口（这部分是进阶高手使用手动脱壳所必备的，对初手来说没有必要，不过为了完整性，还是发上来了）

这里所要用的的两种工具就是：

1，Blast Wave 2000

2，Asp_Loader

软件就不介绍了，因为。。。。一直在电脑里面，从来没用过，不知道该怎么用

第三部分：脱壳。（按照壳的强度排序）

1，ASProtect， 说他是加壳软件里的泰山北斗丝毫不过分，不过其强度不及tElock ，引用我们flying的原话：ASProtect 开创了壳的新时代。

针对这种壳，要脱掉，就要用到以下两个软件：

1）ASprStripper

2）CASPR

特别说明的是，第一种是用来脱ASProtect1.2x的壳，第二种是用来脱ASProtect1.2以前版本的壳的，脱之前看清楚就行了。

2，tElock壳，汉化界的千年老妖，梁利峰前辈开发的点睛字传替换器就是加的这个壳，这个壳曾经被人说成是“绝对防御”，他的出名，就在于他曾经让无数的的脱壳高手抓掉了大半的头发

不过后来，heXer写的untElock 终于结束了tElock的神话。。。

3，ASPack壳，目前最常见的壳，8层以上的软件都加的这个，不过这也是个很好脱掉的壳，直接用Aspackdie脱掉就行了。

4，UPX，也是比较常见的壳，其脱壳方法是最简单的，直接使用UPX的加壳软件的解压缩就能脱掉，不过，必须要特别说明一点的是，解压缩只能脱UPX的标准壳，要是遇到经过处理过后的UPX壳的话就不奏效了，这个时候就要用到另外一个修复UPX壳的软件：Upxfix了。用他将UPX的壳恢复成标准壳后再进行脱壳就没有问题了。

还有一件事情要特别说明的就是：前两天有人问我金山的壳怎么脱，我直接就回答用UPX解压来脱，不过后来，在我运行脱壳后的EXE文件的时候，却一直无法运行，可能就是因为金山用的UPX的非标准壳，不知道那位兄台脱壳后能否正常运行？还是我电脑的问题？不过我还是要为我的思考不周和仓促作答郑重的道歉。

好了，目前常见到的主流壳就这么多了，不过，在以前汉化软件的时候，还零散的遇到了一些其他的壳，在这里将他们的脱壳方法一起发上来，脱壳软件就不介绍了

1，幻影壳：使用undbpe。

2，Armadillo壳：使用dillodumper

3，Kryton壳：使用Krykiller

4，VFP程序：使用VFP&EXE Unpacker和VFP General Unpacker

5，SafeDisc壳：使用Safedisc Cleaner

最后是PRO32，一个已经被我打如冷宫的脱壳软件，现在我也基本上只用他来重建PE结构了，但是脱壳功能依然强大，能够脱掉大多数老式壳，可惜不更新了，真可惜。

第四部分：建议

建议1：大家先使用PEID试着脱壳，无法脱的时候再试PRO32，最后不行了的话再使用各种不同的有针对性的脱壳软件。

建议2：每遇到一个新鲜的没有见过的壳的时候，在网上查找他的脱壳方法，做好资源的收集和整理，相信以后不论什么样的壳都难不倒你了。

建议3：自认为这帖已经是目前先锋比较完善的关于文件脱壳的帖子了，有类似问题的也请善用搜索功能，这帖多少能够帮到你的，就不要再发重复的询问帖了，为论坛节约点空间嘛。。

建议4：大家要是遇到什么新奇的壳，可别忘了PM告诉我哦。。THX了

差不多就是这么多了，最后说几句话，因为脱壳多而不少的都涉及到软件的POJIE和ZHUCE，所以下载地址不方便发上来，软件版本号也做了隐藏，有需要的朋友可以自行网上查找。

你这个问题太过于笼统，其实破解中的脱壳是一个非常复杂的过程，有些壳很容易脱掉，在网上也可以找到相应的脱壳机，有些复杂的壳就需要手动脱壳，我觉得脱壳也可以成为一门复杂的学科，毕竟要破解就要学会脱壳，以前我也曾经看过很多关于脱壳的文章和视频但是由于编程技术不是很好所以总是似是而非，有一日看到一个视频，终于有了一个脱壳的思路，留下你的邮箱我可以给发过去，或者你加我的号码240410420 ,这个视频的文字教程如下：

脱壳多种方法总结篇

一.脱壳基础知识要点

1.PUSHAD :（压栈） 代表程序的入口点

2.POPAD :（出栈） 代表程序的出口点，与PUSHAD想对应.看到这个,就说明快到OEP了.

3.OEP:程序的入口点,软件加壳就是隐藏OEP.而我们脱壳就是为了找OEP.

二.脱壳调试过程中辨认快到OEP的简单方法

下面二个条件是快到OEP的共同现象:

若出现下面情况时,说明OEP就要到了:

1. OD跟踪过程中如果发现:

popad

popfd

或

popad

2.同时,紧接着,有retn ,jmp等其它跳转指令,发生跨段跳跃时.

说明OEP马上到了.

三.脱壳必需牢记的要领

1.单步往前走,不要让程序向上走,遇到向上跳时,在下一句按F4,运行到所选.

2.刚载入程序,在附近就call时,我们按F7跟进去.

3.若跟踪时,运行某个call程序就运行时,这个call也用F7进入.

4.在跟踪时,出现比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN同时发生大跨段跳转时,说明很快就到OEP了.

四.常用脱壳方法总结

------------------

方法一:单步跟踪法

------------------

介绍:这是最通用的方法,对于未知壳,基本都用这种方法,这种方法过程比较麻烦,要一步一步的跟踪分析,要有一定的耐心.

1.用OD载入,选"不分析代码"

2.单步向下跟踪按F8，实现向下的跳.不让程序往回跳.

3.遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——>运行到所选）

4.如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，不然程序很容易运行.

5.在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入.

6.一般遇到很大的跳转（跨段跳），比如 jmp XXXXXX 或 JE XXXXXX 或有RETN的一般很快就会到程序的OEP。

-----------------

方法二:ESP定律法（ESP与EIP都为红色）

-----------------

介绍: 这种方法可以脱大部的压缩壳和少数加密壳, *** 作起来比较简单,脱壳速度也相对比较快.

1.开始就点F8向下走，注意观察OD右上角的寄存器中ESP有没突现（变成红色）

2.在命令行下：dd XXXXXXXX(指在当前代码中的ESP地址，或者hr

XXXXXXXX)，按回车！

3.选中下断的地址，断点--->硬件访--->WORD断点。

4.按一下F9运行程序，直接来到了跳转处，按下F8向下走，就到达程序OEP。

-----------------

方法三:内存镜像法

-----------------

介绍:也是一种比较好用的脱壳方法,大部分的压缩壳和加密壳用内存镜像法能快速脱掉.非常实用.

1.用OD打开,设置选项——调试选项——异常,忽略所有异常(也就是把里面的忽略全部√上),然后CTRL+F2重载下程序！

2.按ALT+M,打开内存镜象，找到程序的第一个.rsrc.按F2下断点，然后按SHIFT+F9运行到断点.

3.接着再按ALT+M,打开内存镜象，找到程序的第一个.rsrc.上面的.CODE，按F2下断点！然后按SHIFT+F9，直接到达程序OEP！

另外：加入内存模块中看到多个PE代码就从第一个PE下面的代码下断点，shift+F9，单步进行，看到INC 的地址，查找到这个地址一般就为程序入口，可能会因为有多个PE所以没有解密，单步进行知道程序返回到这个入口，然后脱壳

----------------

方法四:一步到OEP

----------------

介绍:这是一种巧方法,脱壳速度最快,前提是要知道这个壳的特征,利用这种壳的共性快速找到程序的OEP.这种方法只用于少数壳.

1.开始按Ctrl+F,输入：popad,然后按下F2下断，按F9运行到此处.

2.很快来到大跳转,按F8向下走,来到OEP.

----------------

方法五:利用内存异常（选项--异常，中下面勾都去掉）

----------------

shift+F9 几次 运行后记住运行了几次后打开的软件

重新导入，shift+F9 运行比刚才少一次，观察od右下角SE异常，记下前面地址，ctrl+G，输入这个地址

F2下断点，shift+F9运行到此处，取消断点然后单步F7跟踪到oep入口处，LE修改大小然后转存，然后用ImportRE修改OEP，然后将刚才转存的文件输入即可。

---