在计算机技术中，什么叫加壳和脱壳，能用通俗的话讲出来吗

加壳，的病毒好手工查杀和提取，脱壳，就把病毒外表的保护给去掉一般有5层，核心就是他的源代码和病毒

流氓软件就是破解后加入的

最早提出“壳”这个概念的，据我所知，应该是当年推出脱壳软件 RCOPY 3 的作者熊焰先生。在几年前的 DOS 时代，“壳”一般都是指磁盘加密软件的段加密程序，可能是那时侯的加密软件还刚起步不久吧，所以大多数的加密软件（加壳软件）所生成的“成品”在“壳”和需要加密的程序之间总有一条比较明显的“分界线”。有经验的人可以在跟踪软件的运行以后找出这条分界线来，至于这样有什么用这个问题，就不用我多说了。但毕竟在当时，甚至现在这样的人也不是很多，所以当 RCOPY3 这个可以很容易就找出“分界线”，并可以方便的去掉“壳”的软件推出以后，立即就受到了很多人的注意。老实说，这个我当年在《电脑》杂志看到广告，在广州电脑城看到标着999元的软件，在当时来说，的确是有很多全新的构思，单内存生成 EXE 可执行文件这项，就应该是世界首创了。但它的思路在程序的表现上我认为还有很多可以改进的地方（虽然后来出现了可以加强其功力的 RO97），这个想法也在后来和作者的面谈中得到了证实。在这以后，同类型的软件想雨后春笋一般冒出来，记得住名字的就有： UNKEY、MSCOPY、UNALL 等等，但很多的软件都把磁盘解密当成了主攻方向，忽略了其它方面，当然这也为以后的“密界克星”“解密机器”等软件打下了基础，这另外的分支就不多祥谈了，相信机龄大一点的朋友都应该看过当时的广告了。

解密（脱壳）技术的进步促进、推动了当时的加密（加壳）技术的发展。LOCK95和 BITLOK 等所谓的“壳中带籽”加密程序纷纷出笼，真是各出奇谋，把小小的软盘也折腾的够辛苦的了。正在国内的加壳软件和脱壳软件较量得正火红的时候，国外的“壳”类软件早已经发展到像 LZEXE 之类的压缩壳了。这类软件说穿了其实就是一个标准的加壳软件，它把 EXE 文件压缩了以后，再在文件上加上一层在软件被执行的时候自动把文件解压缩的“壳”来达到压缩 EXE 文件的目的。接着，这类软件也越来越多， PKEXE、AINEXE、UCEXE 和后来被很多人认识的 WWPACK 都属于这类软件，但奇怪的是，当时我看不到一个国产的同类软件。

过了一段时间，可能是国外淘汰了磁盘加密转向使用软件序列号的加密方法吧，保护 EXE 文件不被动态跟踪和静态反编译就显得非常重要了。所以专门实现这样功能的加壳程序便诞生了。 MESS 、CRACKSTOP、HACKSTOP、TRAP、UPS 等等都是比较有名气的本类软件代表，当然，还有到现在还是数一数二的，由台湾同胞所写的 FSE 。其实以我的观点来看，这样的软件才能算是正宗的加壳软件。

在以上这些加壳软件的不断升级较劲中，很多软件都把比较“极端”技术用了上去，因为在这个时候 DOS 已经可以说是给众高手们玩弄在股掌之间了，什么保护模式、反 SICE 、逆指令等等。相对来说，在那段时间里发表的很多国外脱壳程序，根本就不能对付这么多的加壳大军，什么 UPC、TEU 等等都纷纷成为必防的对象，成绩比较理想的就只有 CUP386 了，反观国内，这段时间里也没了这方面的“矛盾斗争”。加壳软件门挥军直捣各处要岗重地，直到在我国遇到了 TR 这个铜墙铁壁以后，才纷纷败下阵来各谋对策，但这已经是一年多以后的事情了。我常想，如果 TR 能早两年“出生”的话，成就肯定比现在大得多，甚至盖过 SICE 也有可能。TR 发表的时候 WIN95 的流行已经成为事实，DOS 还有多少的空间，大家心里都清楚。但话又说回来， TR 的确是个好软件，比起当年的 RCOPY3 有过之而无不及，同时也证明了我们中国的 CRACK 实力（虽然有点过时）。这个时候，前面提到过的 FSE 凭着强劲的实力也渐渐的浮出了水面，独领风骚。其时已经是 1997 年年底了，我也走完了学生“旅程”。工作后在CFIDO 的 CRACK 区认识了 Ding-Boy ，不久 CRACK 区关了，我从此迷上了 INTERNET，并于98年6月建起了一个专门介绍“壳”的站台： >

加壳：其实是利用特殊的算法，对EXE、DLL文件里的资源进行压缩。类似WINZIP 的效果，只不过这个压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。解压原理，是加壳工具在文件头里加了一段指令，告诉CPU，怎么才能解压自己。现在的CPU都很快，所以这个解压过程你看不出什么东东。软件一下子就打开了，只有你机器配置非常差，才会感觉到不加壳和加壳后的软件运行速度的差别。当你加壳时，其实就是给可执行的文件加上个外衣。用户执行的只是这个外壳程序。当你执行这个程序的时候这个壳就会把原来的程序在内存中解开，解开后，以后的就交给真正的程序。所以，这些的工作只是在内存中运行的，是不可以了解具体是怎么样在内存中运行的。通常说的对外壳加密，都是指很多网上免费或者非免费的软件，被一些专门的加壳程序加壳，基本上是对程序的压缩或者不压缩。因为有的时候程序会过大，需要压缩。但是大部分的程序是因为防止反跟踪，防止程序被人跟踪调试，防止算法程序不想被别人静态分析。加密代码和数据，保护你的程序数据的完整性。不被修改或者窥视你程序的内幕。

脱壳，是完全破除压缩后软件无法编辑的限制，去掉头部的解压缩指令，然后解压出加壳前的完整软件。这样，你就可以对其“动刀”了。呵呵~~当然是和加壳相反。

脱壳主要有两种方法：硬脱壳和动态脱壳。

第一种，是硬脱壳，这是指找出加壳软件的加壳算法，写出逆向算法，就像压缩和解压缩一样。由于现在的壳有加密、变形、虚拟环境等等特点，每次加壳生成的代码都不一样。硬脱壳对此无能为力，

第二种，是动态脱壳。加壳的程序运行时必须还原成原始形态，就是加壳程序运行后必须进行解压到程序的文件头。所以我们可以用OD跟踪到OEP的原因。这个时候我们就可以抓取（Dump）内存中的镜像，再重构成标准的执行文件。这样我们就脱壳了。

(PS:现在的加密壳更复杂一

所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变（目前还有一些加壳软件可以压缩、加密驱动程序），以达到缩小文件体积或加密程序编码的目的。

当被加壳的程序运行时，外壳程序先被执行，然后由这个外壳程序负责将用户原有的程序在内存中解压缩，并把控制权交还给脱壳后的真正程序，这就是我们找OEP的原因了。一切 *** 作自动完成，用户不知道也无需知道壳程序是如何运行的。一般情况下，加壳程序和未加壳程序的运行结果是一样的。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，就把这样的程序称为“壳”了。

你这个问题太过于笼统，其实破解中的脱壳是一个非常复杂的过程，有些壳很容易脱掉，在网上也可以找到相应的脱壳机，有些复杂的壳就需要手动脱壳，我觉得脱壳也可以成为一门复杂的学科，毕竟要破解就要学会脱壳，以前我也曾经看过很多关于脱壳的文章和视频但是由于编程技术不是很好所以总是似是而非，有一日看到一个视频，终于有了一个脱壳的思路，留下你的邮箱我可以给发过去，或者你加我的号码240410420 ,这个视频的文字教程如下：

脱壳多种方法总结篇

一脱壳基础知识要点

1PUSHAD :（压栈） 代表程序的入口点

2POPAD :（出栈） 代表程序的出口点，与PUSHAD想对应看到这个,就说明快到OEP了

3OEP:程序的入口点,软件加壳就是隐藏OEP而我们脱壳就是为了找OEP

二脱壳调试过程中辨认快到OEP的简单方法

下面二个条件是快到OEP的共同现象:

若出现下面情况时,说明OEP就要到了:

1 OD跟踪过程中如果发现:

popad

popfd

或

popad

2同时,紧接着,有retn ,jmp等其它跳转指令,发生跨段跳跃时

说明OEP马上到了

三脱壳必需牢记的要领

1单步往前走,不要让程序向上走,遇到向上跳时,在下一句按F4,运行到所选

2刚载入程序,在附近就call时,我们按F7跟进去

3若跟踪时,运行某个call程序就运行时,这个call也用F7进入

4在跟踪时,出现比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN同时发生大跨段跳转时,说明很快就到OEP了

四常用脱壳方法总结

------------------

方法一:单步跟踪法

------------------

介绍:这是最通用的方法,对于未知壳,基本都用这种方法,这种方法过程比较麻烦,要一步一步的跟踪分析,要有一定的耐心

1用OD载入,选"不分析代码"

2单步向下跟踪按F8，实现向下的跳不让程序往回跳

3遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——>运行到所选）

4如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，不然程序很容易运行

5在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入

6一般遇到很大的跳转（跨段跳），比如 jmp XXXXXX 或 JE XXXXXX 或有RETN的一般很快就会到程序的OEP。

-----------------

方法二:ESP定律法（ESP与EIP都为红色）

-----------------

介绍: 这种方法可以脱大部的压缩壳和少数加密壳, *** 作起来比较简单,脱壳速度也相对比较快

1开始就点F8向下走，注意观察OD右上角的寄存器中ESP有没突现（变成红色）

2在命令行下：dd XXXXXXXX(指在当前代码中的ESP地址，或者hr

XXXXXXXX)，按回车！

3选中下断的地址，断点--->硬件访--->WORD断点。

4按一下F9运行程序，直接来到了跳转处，按下F8向下走，就到达程序OEP。

-----------------

方法三:内存镜像法

-----------------

介绍:也是一种比较好用的脱壳方法,大部分的压缩壳和加密壳用内存镜像法能快速脱掉非常实用

1用OD打开,设置选项——调试选项——异常,忽略所有异常(也就是把里面的忽略全部√上),然后CTRL+F2重载下程序！

2按ALT+M,打开内存镜象，找到程序的第一个rsrc按F2下断点，然后按SHIFT+F9运行到断点

3接着再按ALT+M,打开内存镜象，找到程序的第一个rsrc上面的CODE，按F2下断点！然后按SHIFT+F9，直接到达程序OEP！

另外：加入内存模块中看到多个PE代码就从第一个PE下面的代码下断点，shift+F9，单步进行，看到INC 的地址，查找到这个地址一般就为程序入口，可能会因为有多个PE所以没有解密，单步进行知道程序返回到这个入口，然后脱壳

----------------

方法四:一步到OEP

----------------

介绍:这是一种巧方法,脱壳速度最快,前提是要知道这个壳的特征,利用这种壳的共性快速找到程序的OEP这种方法只用于少数壳

1开始按Ctrl+F,输入：popad,然后按下F2下断，按F9运行到此处

2很快来到大跳转,按F8向下走,来到OEP

----------------

方法五:利用内存异常（选项--异常，中下面勾都去掉）

----------------

shift+F9 几次 运行后记住运行了几次后打开的软件

重新导入，shift+F9 运行比刚才少一次，观察od右下角SE异常，记下前面地址，ctrl+G，输入这个地址

F2下断点，shift+F9运行到此处，取消断点然后单步F7跟踪到oep入口处，LE修改大小然后转存，然后用ImportRE修改OEP，然后将刚才转存的文件输入即可。

加壳一般是指保护程序资源的方法

脱壳一般是指除掉程序的保护,用来修改程序资源

你用过珊瑚虫QQ吧当初腾讯的QQ程序也是加壳的,珊瑚虫就是把这个壳去掉修改了QQ本身程序才可以实现IP显示等功能

通俗点就是说:

我把饼干到饼干筒里进行保管,防止蚂蚁吃

蚂蚁想吃到饼干,必须得有能力把这个饼干筒打开

以上就是关于在计算机技术中，什么叫加壳和脱壳，能用通俗的话讲出来吗全部的内容，包括:在计算机技术中，什么叫加壳和脱壳，能用通俗的话讲出来吗、这个程序怎么去脱壳、什么是加壳和脱壳等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！