知道怎么给文件脱壳吗?谢谢

分类: 电脑/网络 >> *** 作系统/系统故障

解析:

常用的文件脱壳方法

如果你要实现软件的DIY，最常见的一个必须做的步骤是——给文件进行脱壳。各个文件的壳，从而达到修改其资源的目的。所以花了点时间，把自己电脑里的脱壳软件做了点整理。

不过话又说回来。光是PEID能侦察到的壳的种类就有超过450种，所以要做到每一种的脱壳方法都讲清楚，那是不可能的，所以我精选了最常见的几种壳来做说明。

好了，不说废话了，进入主题，免得挨同学们骂：）

第一部分：查壳。

要想脱掉一个文件的壳，就要先了解到到底他穿的是金钟罩，还是铁布衫。

所以这里就要用到两种工具：

1，FileInfo 这个就不介绍了吧，连这咚咚都不知道的，我就真的没有语言了

2，peid 功能极为强大的，集脱壳和查壳为一体的软件，其本身不仅能察看文件加壳的类型，还能察看编写软件所使用的程序，如VC，VB，DEPHI等等，更变态的是，他自身所带的插件还能脱壳 ，汉化新世纪有11月21号更新的最新加强版。脱壳游戏要是没了它，我看还是别玩了，呵呵。

第二部分：查找切入口（这部分是进阶高手使用手动脱壳所必备的，对初手来说没有必要，不过为了完整性，还是发上来了）

这里所要用的的两种工具就是：

1，Blast Wave 2000

2，Asp_Loader

软件就不介绍了，因为。。。。一直在电脑里面，从来没用过，不知道该怎么用

第三部分：脱壳。（按照壳的强度排序）

1，ASProtect， 说他是加壳软件里的泰山北斗丝毫不过分，不过其强度不及tElock ，引用我们flying的原话：ASProtect 开创了壳的新时代。

针对这种壳，要脱掉，就要用到以下两个软件：

1）ASprStripper

2）CASPR

特别说明的是，第一种是用来脱ASProtect1.2x的壳，第二种是用来脱ASProtect1.2以前版本的壳的，脱之前看清楚就行了。

2，tElock壳，汉化界的千年老妖，梁利峰前辈开发的点睛字传替换器就是加的这个壳，这个壳曾经被人说成是“绝对防御”，他的出名，就在于他曾经让无数的的脱壳高手抓掉了大半的头发

不过后来，heXer写的untElock 终于结束了tElock的神话。。。

3，ASPack壳，目前最常见的壳，8层以上的软件都加的这个，不过这也是个很好脱掉的壳，直接用Aspackdie脱掉就行了。

4，UPX，也是比较常见的壳，其脱壳方法是最简单的，直接使用UPX的加壳软件的解压缩就能脱掉，不过，必须要特别说明一点的是，解压缩只能脱UPX的标准壳，要是遇到经过处理过后的UPX壳的话就不奏效了，这个时候就要用到另外一个修复UPX壳的软件：Upxfix了。用他将UPX的壳恢复成标准壳后再进行脱壳就没有问题了。

还有一件事情要特别说明的就是：前两天有人问我金山的壳怎么脱，我直接就回答用UPX解压来脱，不过后来，在我运行脱壳后的EXE文件的时候，却一直无法运行，可能就是因为金山用的UPX的非标准壳，不知道那位兄台脱壳后能否正常运行？还是我电脑的问题？不过我还是要为我的思考不周和仓促作答郑重的道歉。

好了，目前常见到的主流壳就这么多了，不过，在以前汉化软件的时候，还零散的遇到了一些其他的壳，在这里将他们的脱壳方法一起发上来，脱壳软件就不介绍了

1，幻影壳：使用undbpe。

2，Armadillo壳：使用dillodumper

3，Kryton壳：使用Krykiller

4，VFP程序：使用VFP&EXE Unpacker和VFP General Unpacker

5，SafeDisc壳：使用Safedisc Cleaner

最后是PRO32，一个已经被我打如冷宫的脱壳软件，现在我也基本上只用他来重建PE结构了，但是脱壳功能依然强大，能够脱掉大多数老式壳，可惜不更新了，真可惜。

第四部分：建议

建议1：大家先使用PEID试着脱壳，无法脱的时候再试PRO32，最后不行了的话再使用各种不同的有针对性的脱壳软件。

建议2：每遇到一个新鲜的没有见过的壳的时候，在网上查找他的脱壳方法，做好资源的收集和整理，相信以后不论什么样的壳都难不倒你了。

建议3：自认为这帖已经是目前先锋比较完善的关于文件脱壳的帖子了，有类似问题的也请善用搜索功能，这帖多少能够帮到你的，就不要再发重复的询问帖了，为论坛节约点空间嘛。。

建议4：大家要是遇到什么新奇的壳，可别忘了PM告诉我哦。。THX了

差不多就是这么多了，最后说几句话，因为脱壳多而不少的都涉及到软件的POJIE和ZHUCE，所以下载地址不方便发上来，软件版本号也做了隐藏，有需要的朋友可以自行网上查找。

问题一：软件如何脱壳，用什么软件脱壳 首先你要检查一下加的什么壳，要是你检测时候发现是VC++写的，那就说明没加壳，自然就不需要脱壳。用什么加的壳，先PEid查看一下，然后再去找专门的脱壳工具,一旦检测出壳的种类，就可以脱壳了。

问题二：万能脱壳工具QuickUnpack怎么脱壳 (QuickUnpack)使用方法

1、点击【打开文件】选择要脱壳的文件

2、点击【连接进程】选择要连接的进程和模板

3、点击【完全脱壳】开始脱壳

问题三：软件破解有没有通用万能的脱壳的好工具？asprotect壳有什么工具可以脱掉？ （一）.壳的概念

作者编好软件后,编译成exe可执行文件。 1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等，即为了保护软件不被破解，通常都是采用加壳来进行保护。 2.需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩, 3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。

实现上述功能,这些软件称为加壳软件。

（二）.加壳软件最常见的加壳软件ASPACK ,UPX,PEpact 不常用的加壳软件WWPACK32；PE-PACK ；PETITE ；NEOLITE

（三）.侦测壳和软件所用编写语言的软件，因为脱壳之前要查他的壳的类型。 1.侦测壳的软件fileinfo.exe 简称fi.exe(侦测壳的能力极强) 2.侦测壳和软件所用编写语言的软件language.exe(两个功能合为一体,很棒) 推荐language2000中文版（专门检测加壳类型） 3.软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC)

（四）脱壳软件。 软件加壳是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具，当然有盾，自然就有矛，只要我们收集全常用脱壳工具，那就不怕他加壳了。软件脱壳有手动脱壳和自动脱壳之分，下面我们先介绍自动脱壳，因为手动脱壳需要运用汇编语言，要跟踪断点等，不适合初学者，但我们在后边将稍作介绍。

加壳一般属于软件加密，现在越来越多的软件经过压缩处理，给汉化带来许多不便，软件汉化爱好者也不得不学习掌握这种技能。现在脱壳一般分手动和自动两种，手动就是用TRW2000、TR、SOFTICE等调试工具对付，对脱壳者有一定水平要求，涉及到很多汇编语言和软件调试方面的知识。而自动就是用专门的脱壳工具来脱，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX；有些不提供这功能，如：ASPACK，就需要UNASPACK对付，好处是简单，缺点是版本更新了就没用了。另外脱壳就是用专门的脱壳工具来对付，最流行的是PROCDUMP v1.62 ，可对付目前各种压缩软件的压缩档。在这里介绍的是一些通用的方法和工具，希望对大家有帮助。我们知道文件的加密方式，就可以使用不同的工具、不同的方法进行脱壳。下面是我们常常会碰到的加壳方式及简单的脱壳措施，供大家参考： 脱壳的基本原则就是单步跟踪，只能往前，不能往后。脱壳的一般流程是:查壳->寻找OEP->Dump->修复 找OEP的一般思路如下： 先看壳是加密壳还是压缩壳，压缩壳相对来说容易些，一般是没有异常，找到对应的popad后就能到入口，跳到入口的方式一般为。 我们知道文件被一些压缩加壳软件加密，下一步我们就要分析加密软件的名称、版本。因为不同软件甚至不同版本加的壳，脱壳处理的方法都不相同。

常用脱壳工具： 1、文件分析工具（侦测壳的类型）：Fi,GetTyp,peid，pe-scan， 2、OEP入口查找工具：SoftICE,TRW,ollydbg,loader,peid 3、dump工具：IceDump,TRW,PEditor,ProcDump32,LordPE 4、PE文件编辑工具：PEditor,ProcDump32,LordPE 5、重建Import Table工具：ImportREC,ReVirgin 6、ASProtect脱壳专用工具：Caspr(ASPr V1.1-V1.2有效)，Rad(只对......>>

问题四：软件脱壳工具有哪些 10分 常见的脱壳工具有两种：

1。OD自带脱壳插件

鼠标右键菜单,选择Dump debugged process->设置Entry Point->点击Dump

2.LordPE

LordPE进程列表中选择目标进程->鼠标右键菜单,选择完整脱壳

脱壳步骤

查壳

使用PEID, PE-SCAN等查壳工具查壳

查找OEP

使用OllyDbg跟踪调试找到OEP

脱壳

右键使用OLLYDBG自带的脱壳插件

修复

脱下的程序如果不能执行,使用Import ReConstructor工具修复

问题五：软件破解脱壳法 什么是脱壳技术？

在一些电脑软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行拿到控制权，然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然（但后来也出现了所谓的“壳中带籽”的壳）。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。就像电脑病毒和自然界的病毒一样，其实都是命名上的方法罢了。从功能上抽象，软件的壳和自然界中的壳相差无几。无非是保护、隐蔽壳内的东西。而从技术的角度出发，壳是一段执行于原始程序前的代码。原始程序的代码在加壳的过程中可能被压缩、加密……。当加壳后的文件执行时，壳这段代码先于原始程序运行，他把压缩、加密后的代码还原成原始程序代码，然后再把执行权交还给原始代码。 软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的OEP（入口点，防止被破解）。关于“壳”以及相关软件的发展历史请参阅吴先生的《一切从“壳”开始》。

（一）壳的概念：作者编好软件后，编译成exe可执行文件。

1.有一些版权信息需要保护起来，不想让别人随便改动如作者的姓名，即为了保护软件不被破解，通常都是采用加壳来进行保护。

2.需要把程序搞的小一点，从而方便使用。于是需要用到一些软件，它们能将exe可执行文件压缩。

3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能，这些软件称为加壳软件。

（二）加壳软件最常见的加壳软件ASPACK ，UPX，PEpact 不常用的加壳软件WWPACK32；PE-PACK；PETITE NEOLITE

（三）侦测壳和软件所用编写语言的软件，因为脱壳之前要查他的壳的类型。

1.侦测壳的软件 fileinfo.exe 简称 fi.exe (侦测壳的能力极强)。

2.侦测壳和软件所用编写语言的软件language.exe(两个功能合为一体，很棒)推荐。language2000中文版(专门检测加壳类型)。

3.软件常用编写语言Delphi；VisualBasic (VB)最难破；VisualC (VC)。

（四）脱壳软件。

软件加壳是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具，当然有盾，自然就有矛，只要我们收集全常用脱壳工具，那就不怕他加壳了。软件脱壳有手动脱和自动脱壳之分，下面我们先介绍自动脱壳，因为手动脱壳需要运用汇编语言，要跟踪断点等，不适合初学者，但我们在后边将稍作介绍。

=======================================================================

加壳一般属于软件加密，现在越来越多的软件经过压缩处理，给汉化带来许多不便，软件汉化爱好者也不得不学习掌握这种技能。现在脱壳一般分手动和自动两种，手动就是用TRW2000、TR、SOFTICE等调试工具对付，对脱壳者有一定水平要求，涉及到很多汇编语言和软件调试方面的知识。而自动就是用专门的脱壳工具来脱，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX；有些不提供这功能，例如：ASPACK，就需要UNASPACK对付，好处是简单，缺点是版本更新了就没用了。另外脱壳就是用专门的脱壳工具来对付，最流行的是PROCDUMP v1.62，可对付目前各种压缩软件的压缩档。在这里介绍的是一些通用的方法和工具，希望对大家有帮助。我们知道文件的加密方式，就可以使用不同的工具、不同的方法进......>>

问题六：万能脱壳工具QuickUnpack怎么脱壳 万能脱壳工具(QuickUnpack)使用方法

1、点击【打开文件】选择要脱壳的文件

2、点击【连接进程】选择要连接的进程和模板

3、点击【完全脱壳】开始脱壳

问题七：软件如何脱壳 步骤1 检测壳

壳的概念：

所谓“壳”就是专门压缩的工具。

这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩，壳的压缩指的是针对exe、、和dll等程序文件进行压缩，在程序中加入一段如同保护层的代码，使原程序文件代码失去本来面目，从而保护程序不被非法修改和反编译，这段如同保护层的代码，与自然界动植物的壳在功能上有很多相似的地方，所以我们就形象地称之为程序的壳。

壳的作用：

1.保护程序不被非法修改和反编译。

2.对程序专门进行压缩，以减小文件大小，方便传播和储存。

壳和压缩软件的压缩的区别是

压缩软件只能够压缩程序

而经过壳压缩后的exe、和dll等程序文件可以跟正常的程序一样运行

下面来介绍一个检测壳的软件

PEID v0.92

这个软件可以检测出 450种壳

新版中增加病毒扫描功能，是目前各类查壳工具中，性能最强的。

另外还可识别出EXE文件是用什么语言编写的VC++、Delphi、VB或Delphi等。

支持文件夹批量扫描

我们用PEID对easymail.exe进行扫描

找到壳的类型了

UPX 0.89.6 - 1.02 / 1.05 - 1.24 ->Markus &Laszlo

说明是UPX的壳

下面进行

步骤2 脱壳

对一个加了壳的程序，去除其中无关的干扰信息和保护限制，把他的壳脱去，解除伪装，还原软件本来的面目。这个过程就叫做脱壳。

脱壳成功的标志

脱壳后的文件正常运行，功能没有损耗。

还有一般脱壳后的文件长度都会大于原文件的长度。

即使同一个文件，采用不同的脱壳软件进行脱壳，由于脱壳软件的机理不通，脱出来的文件大小也不尽相同。

关于脱壳有手动脱壳和自动脱壳

自动脱壳就是用专门的脱壳机脱 很简单 按几下就 OK了

手动脱壳相对自动脱壳 需要的技术含量微高 这里不多说了

UPX是一种很老而且强大的壳 不过它的脱壳机随处就能找到

UPX本身程序就可以通过

UPX 文件名 －d

来解压缩 不过这些需要的 命令符中输入

优点方便快捷 缺点DOS界面

为了让大家省去麻烦的 *** 作 就产生了一种叫 UPX SHELL的外壳软件

UPX SHELL v3.09

UPX 外壳程序！

目的让UPX的脱壳加壳傻瓜化

注：如果程序没有加壳 那么我们就可以省去第二步的脱壳了，直接对软件进行分析了。

脱完后 我们进行

步骤3

运行程序

尝试注册

获取注册相关信息

通过尝试注册 我们发现一个关键的字符串

“序列号输入错误”

步骤4

反汇编

反汇编一般用到的软件 都是 W32Da ***

W32da *** 对于新手 易于上手 *** 作简单

W32Da *** 有很多版本 这里我推荐使用 W32Da *** 无极版

我们现在反汇编WebEasyMail的程序文件easymail.exe

然后看看能不能找到刚才的字符串

步骤5

通过eXeScope这个软件来查看未能在w32da *** 中正确显示的字符串信息

eXeScope v6.50

更改字体，更改菜单，更改对话框的排列，重写可执行文件的资源，包括(EXE，DLL，OCX）等。是方便强大的汉化工具，可以直接修改用 VC++ 及 DELPHI 编制的程序的资源，包括菜单、对话框、字符串表等

新版可以直接查看 加壳文件的资源

我们打开eXeScope

找到如下字串符

122,序列号输入错误

123,恭喜......>>

问题八：有没有万能的中文版脱壳机！怎么使用！ 小生我怕怕工具包有你所要的，至于怎么用望自学成才。

问题九：将一个软件脱壳之后该怎么能做呢、 脱壳后要修复 如果脱壳后 能正常使用 就不用修复了没有壳后 可以修改程序里面的标签、标题、文本等....可以用 c32 这个软件修改 查看原帖>>

求采纳

问题十：软件脱壳后用什么软件来修改 第一步，用fi243确定壳的类型，有自动脱壳工具的，用工具脱。否则第二步。

第二步，用bw2k确定程序的真正入口点OEP，不妨记为xxxx；若找不到，请试一试Softice + icedump： 使用Icedump 的/tracex 命令可能找到OEP 的地址；若还找不到，只能手动跟踪，看你的功力和运气了。

第三步，用trw装入（load）程序，下bpx xxxx，g。中断后用pedump命令脱壳，格式是

pedump c: est est.exe。不能中断时运行superbpm，选中erase，重复第三步 *** 作。若脱出来的test.exe可以运行，则脱壳完毕，否则第四步。

第四步， 用peditor 修正test.exe，用Import REConstructor v1.2 beta2修复输入表，参照以下这篇文章

若还是不行，建议你用内存补丁或放弃暴破，去算注册号吧。

以下以S-Spline 2.04为例，讲一讲手动脱壳和修复import表的具体 *** 作步骤。S-Spline 2.04

第一步，用fi243确定壳的类型。fi243没有GUI界面，是命令行程序，用法是这样：

c:fi243fi s-spline.exe。

Fi已经检测不出新版asprotect了，所以如果遇到检测不出的类型，就有可能是asprotect。接着往下做吧。

第二步，用bw2k确定程序的真正入口点OEP，

运行bw2k，面板上的entry point显示为00000000。按track钮，再运行s-spline.exe，程序界面出来之后，bw2k的面板上entry point显示为7e910，这就是入口点了。退出s-spline，我们又迈出了可喜的第二步。

第三步，运行SuperBPM，选中erase（默认为不选中），确保trw能够中断。

第四步，运行trw2k，按browse找到并选中s-spline.exe，按loader装入。下bpx 47e910，g。trwd出时输入pedump c: est est.exe，退出trw（不退也行），但不要退出s-spline。在c: est下会找到test.exe。这个程序目前还不能运行，因为它的import表是被加密的。

第五步，用peditor修正test.exe。运行peditor，按browse找到test.exe，确定。再按sections，d出一个窗口，显示每个section的信息。在窗口中点右键，在d出菜单中选dumpfixer(RS=VS &RO=VO)，提示'DONE'，这时可以关闭peditor了。

第六步，运行ImportREC1.2beta2，在Attach to an Active Process下拉框中选中s-spline.exe，然后在左下方OEP中输入7e910(就是EP-image base=47e910-400000)，按IAT AutoSearch。出现对话框Found Something!=》

---