给文件加壳，加花，去壳，分别是什么意思？

加壳：其实是利用特殊的算法，对可执行文件里的资源进行压缩，只不过这个压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。附加在原程序上通过加载器载入内存后，先于原始程序执行，得到控制权改悉，执行过程中对原始核裂乎程序进行解密、还原，还原完成后再把控制权交还给原始程序，执行原来的代码部分。

加上外壳后，原始程序代码在磁盘文件中一般是以加密后的形式存在的，只在执行时在内存中还原，这样就可以比较有效地防止破解者对程序文件的非法修改，同时也可以防止程序被静态反编译。

加花：是在一些反汇编软件中加入一些花指令，花指令是利用了反汇编时单纯根据机器指令字来决定反汇编结果的漏洞。

去壳：顾名思义，就是对软件加壳的逆 *** 作，把软件上存在的壳去掉。在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。

一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样，其实都是命名上的方法罢了。

扩展资料：  

加“壳”虽然增加了CPU负担，但是减少了硬盘读写时间，实际应用时加“壳”以后程序运行速度更快（当然有的加“壳”以后会变慢，那是选择的加“壳”工具问题）。

一般软件都加“壳”这样不但可以保护自己的软件不被破解、修改还可以增加运行时启动速度。

加“壳”不等于木源慧马，平时的绝大多数软件都加了自己的专用“壳”。

RAR和ZIP都是压缩软件，不是加“壳”工具，解压时是需要进行磁盘读写，“壳”的解压缩是直接在内存中进行的。

壳的概念：

所谓“壳”就是专门压缩的工具。

这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩，壳的压缩指的是针对exe、com、和dll等程序文件进行压缩，在程序中加入一段如同保护层的代码，使原程序文件代码失去本来面目，从而保护程序不被非法修改和反编译，这段如同保护层的代码，与自然界动植物的壳在功能上有很多相似的地方，所以我们就形象地称之为程序的壳。

壳的作用：

1.保护程序不被非法修改和反编译。

2.对程序专门进行压缩，以减小文件大小，方便传播和储存。

壳前厅和压缩软件的压缩的区别是

压缩软件只能够压缩程序

而经过壳压缩后的exe、com和dll等程序文件可以跟正常的程序一样运行

下面来介绍一个检测壳的软件

PEID v0.92

这个软件可以检测出 450种壳

新版中增加病毒扫描功能，是目前各类查壳工具中，性能最强的。

另外还可识别出EXE文件盯乎是用什么语言编写的VC++、Delphi、VB或Delphi等。

支持文件夹批量扫描

我们用PEID对easymail.exe进行扫描

找到壳的类型了

UPX 0.89.6 - 1.02 / 1.05 - 1.24 ->Markus &Laszlo

说明是UPX的壳

下面进行

步骤2 脱壳

对一个加了壳的程序，去除其中无关的干扰信息和保护限制，把他的壳脱去，解除伪装，还原软件本来的面目。这个过程就叫做脱壳。

脱壳成功的标志

脱壳后的文件正常运行，功能没有损耗。

还有一般脱壳后的文件长度都会大于原文件的长度。

即使同一个文件，采用不同的脱壳软件进行脱壳，由于脱壳软件的机理不通，脱出来的文件大小也不尽相同。

关于脱壳有手动脱壳和自动脱壳

自动脱壳就是用专门的脱壳机脱 很简单 按几下就 OK了

手动脱壳相对自动脱壳 需要的技术含量微高 这里不多说了

UPX是一种很老而且强大的壳 不过它的脱壳机随处就能找到

UPX本身程序就可以通过

UPX 文件名 －d

来解压缩 不慧则隐过这些需要的 命令符中输入

优点方便快捷 缺点DOS界面

为了让大家省去麻烦的 *** 作 就产生了一种叫 UPX SHELL的外壳软件

UPX SHELL v3.09

UPX 外壳程序！

目的让UPX的脱壳加壳傻瓜化

注：如果程序没有加壳 那么我们就可以省去第二步的脱壳了，直接对软件进行分析了。

脱完后 我们进行

步骤3

运行程序

尝试注册

获取注册相关信息

通过尝试注册 我们发现一个关键的字符串

“序列号输入错误”

步骤4

反汇编

反汇编一般用到的软件 都是 W32Dasm

W32dasm对于新手 易于上手 *** 作简单

W32Dasm有很多版本 这里我推荐使用 W32Dasm 无极版

我们现在反汇编WebEasyMail的程序文件easymail.exe

然后看看能不能找到刚才的字符串

步骤5

通过eXeScope这个软件来查看未能在w32dasm中正确显示的字符串信息

eXeScope v6.50

更改字体，更改菜单，更改对话框的排列，重写可执行文件的资源，包括(EXE，DLL，OCX）等。是方便强大的汉化工具，可以直接修改用 VC++ 及 DELPHI 编制的程序的资源，包括菜单、对话框、字符串表等

新版可以直接查看 加壳文件的资源

我们打开eXeScope

找到如下字串符

122,"序列号输入错误 "

123,"恭喜您成为W ebEasyMail正式用户中的一员! "

124,注册成功

125,失败

重点是122

步骤6

再次返回 w32dasm

* Possible Reference to String Resource ID=00122: "?鲹e?"

但是双击后

提示说找不到这个字串符

不是没有 是因为 "?鲹e?"是乱码 w32dasm对于中文显示不是太好

毕竟不是国产软件

先把今天会用到的汇编基本指令跟大家解释一下

mov a,b 把b的值赋给a，使a＝b

call ：调用子程序 ，子程序以ret结为

ret ：返回主程序

je或jz ：若相等则跳转

jne或jnz ：若不相等则跳转

push xx：xx 压栈

pop xx：xx 出栈

栈，就是那些由编译器在需要的时候分配，在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等。

我们搜索

Possible Reference to String Resource ID=00122

因为对E文支持很好

我们来到了

* Referenced by a (U)nconditional or (C)onditional Jump at Address:

|:00406F17(C) //跳转来自 406F17

|

* Possible Reference to String Resource ID=00125: "1%"

|

:004070DD 6A7D push 0000007D

:004070DF 8D4C2410 lea ecx, dword ptr [esp+10]

:004070E3 E8F75A1200 call 0052CBDF

* Possible Reference to String Resource ID=00122: "?鲹e?"

|

:004070E8 6A7A push 0000007A

:004070EA 8D4C2408 lea ecx, dword ptr [esp+08]

:004070EE E8EC5A1200 call 0052CBDF

我们来到

:00406F01 8B876C080000 mov eax, dword ptr [edi+0000086C]这里是对

:00406F07 8B4C2408 mov ecx, dword ptr [esp+08]

:00406F0B 50 push eax//这两个eax和ecx入栈就比较让我们怀疑了

:00406F0C 51 push ecx//产生注册码

:00406F0D E8AE381100 call 0051A7C0//这CALL里对注册位应该会有设置

:00406F12 83C40C add esp, 0000000C

:00406F15 85C0 test eax, eax// 检测注册位

:00406F17 0F85C0010000 jne 004070DD //不存在注册位 就会跳到4070DD就会出现那个错误的字串符了

我们记住406F01这个地址

接着进行下一步

步骤7

这一步我们进行的是调试

用到的软件是ollydbg

好了我们找到了 注册码0012AF04 00FD4A10 ASCII "04893e058f9c1c9fb16764c3b86f78e6"

但是这个并不是我们的主要目的

我们还要做出属于自己的注册机

相信这个是很多人梦寐以求的事情

步骤8

制作注册机

注册机我们需要的是一个KEYMAKE的软件

因为2.0是演示版而且停止更新了

所以我们用1.73版

做一个内存注册机 需要下面几个资料

中断地址：406F0C

中断次数：1

第一字节：51

指令长度：1

好了 一个完美的注册机 就产生了

还不赶快发给你的朋友 炫耀一下

保证让他迷糊死 佩服得你要死

其实最后还有几个步骤

就是撰写破文

不过大家都是新手 这个步骤 就去了吧

不知不觉说了这么多废话 希望能对大家有些作用

所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变（目前还有一些加壳软件可以压缩、加密驱动程序），以达到缩小文件体积或加密程序编码的目的。

当被加壳的程序运行时，外壳程序先乱或链兄被执行，然后由这个外壳程序负责将用户原有的程序在内存中解压缩，并把控制权交还给脱壳后的真正程序，这就是我们找OEP的原因了。一切 *** 作自动完成，用户不知道也无需知道壳程序是如何运行的。一般情况下，加壳程序和未加壳程序的运行结果是一样的。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，就把这样的程序称为“壳”了。

（PS：壳是指在一个程序的外面加上另外一段代码，保护里面的代码不被非法修改或者反编译。）

脱壳理论

脱壳主要有两种方法：硬脱壳和动态脱壳。

第一种，是硬脱壳，这是指找出加壳软件的加壳算法，写出逆向算法，就像压缩和解压缩一样。由于现在的壳有加密、变形、虚拟环境等等特点，每次加壳生成的代码都不一样。硬脱壳对此无能为力，

第二种，是动态脱壳。加壳的程序运行时必须还原成原始形态，就是加壳程序运行后必须进行解压到程序的文件头。所以我们可以用OD跟踪到OEP的原因。这个时候我们就可以抓取（Dump）内存中的镜像，再重构成标准的执行文件。这样我们就脱壳了。

(PS:现在的哗唤伍加密壳更复杂一点，需要我们考虑的东西就更多了。)

以上说明的就是针对压缩壳的简单说明，

现在壳已经由压缩壳到加密壳到VM壳。