5款常用加壳软件对比

《万能数据库查询分析器》的EXE文件加壳技术万能数据库查询分析器（Universal Database Query Analyzer）是一款常用的数据库查询工具，可以连接多种类型的数据库，并通过简单的语法来执行查询操作。

为了保护软件的安全性和版权，开发者常常会使用加壳技术来防止被破解或篡改。

在本文中，我们将介绍《万能数据库查询分析器》的EXE文件加壳技术。

加壳技术是一种将原始可执行文件（EXE）包装在壳程序中的方法。

它可以提供一层保护，使得破解者难以直接分析和修改程序的逻辑和代码。

加壳技术的主要目的是增强软件的抗逆向工程能力和安全性。

在《万能数据库查询分析器》的EXE文件中，可以采用如下的加壳技术：1. 加壳器选择：选择一个合适的加壳器是第一步。

常见的加壳器有Themida、UPX、Enigma Protector等。

根据软件的特点和需求，选择一个适合的加壳器进行加壳操作。

2.加壳过程：加壳器通过修改可执行文件的文件头和代码区段来进行加壳。

首先，加壳器会创建一个壳程序，并将原始可执行文件插入到壳程序中的一些位置，形成新的加壳文件。

然后，加壳器会对加壳文件进行一系列的修改和加密操作，包括改变文件结构、加密代码段、混淆控制流等。

3.动态解壳：在运行时，加壳文件会首先执行壳程序，进行解壳操作。

解壳操作包括解密代码段、还原文件结构等。

解壳后，程序会开始正常执行。

加壳技术可以提供多种保护功能，如：1.反调试功能：加壳器可以通过修改PE结构中的调试信息或使用反调试技术来防止调试器的使用。

2.加密保护：加壳器可以对加壳文件的代码段进行加密，使得破解者无法直接获取和分析代码。

3.完整性保护：加壳器可以通过校验和或数字签名等方式验证加壳文件的完整性，防止被篡改。

4.虚拟机保护：加壳器可以通过使用虚拟机技术，在运行时创建一个隔离的执行环境，防止逆向分析和调试操作。

然而，加壳技术也有一些缺点和挑战：1.兼容性问题：加壳技术可能会导致一些兼容性问题，如无法在一些环境中正常运行或与其他软件冲突等。

加壳与脱壳的应用与实现一、加壳 (2)1.什么是壳 (2)2.加壳原因 (2)3.壳的加载过程 (3)4.压缩引擎 (5)5.常见的加壳工具 (6)a.常用压缩壳介绍 (6)b.加密保护壳介绍 (7)二、脱壳 (10)1.侦壳 (10)2.脱壳 (13)a.查找程序的真正入口点（OEP） (13)b.抓取内存映像文件 (15)c.输入表重建 (15)附：视频“加壳与脱壳（软件）”和“手动脱壳” (17)加壳与脱壳一、加壳1.什么是壳在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。

它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。

由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，就把这样的程序称为“壳”了。

图1.12.加壳原因就把这样的程序称为“壳”了。

作者编好软件后，编译成exe可执行文件。

1）有一些版权信息需要保护起来，不想让别人随便改动，如作者的姓名，即为了保护软件不被破解，通常都是采用加壳来进行保护。

2）需要把程序搞的小一点，从而方便使用。

于是，需要用到一些软件，它们能将exe可执行文件压缩。

3）在黑客界给木马等软件加壳脱壳以躲避杀毒软件。

实现上述功能，这些软件称为加壳软件。

3.壳的加载过程1）获取壳自己所需要使用的API地址如果用PE编辑工具查看加壳后的文件，会发现未加壳的文件和加壳后的文件的输入表不一样，加壳后的输入表一般所引入的DLL和API函数很少，甚至只有Kernel32.dll以及GetProcAddress这个API 函数。

壳实际上还需要其他的API函数来完成它的工作，为了隐藏这些API，它一般只在壳的代码中用显式链接方式动态加载这些API函数2）解密原程序的各个区块(Section)的数据壳出于保护原程序代码和数据的目的，一般都会加密原程序文件的各个区块。

在程序执行时外壳将会对这些区块数据解密，以让程序能正常运行。

壳一般按区块加密的，那么在解密时也按区块解密，并且把解密的区块数据按照区块的定义放在合适的内存位置。

一、实验目的1. 理解软件加壳的基本原理和作用。

2. 掌握常用的软件加壳工具的使用方法。

3. 分析加壳对软件性能和安全性影响。

4. 探索软件加壳技术在实际应用中的挑战和解决方案。

二、实验环境1. 操作系统：Windows 102. 编程语言：Python3. 加壳工具：UPX、ASProtect4. 被加壳软件：一个简单的Python脚本三、实验内容1. 软件加壳基本原理软件加壳是一种将软件进行压缩、加密或变形处理的技术，目的是为了保护软件不被未经授权的篡改或破解。

加壳后的软件在运行时会自动解壳，恢复原始形态。

2. 加壳工具使用（1）UPX加壳- 使用UPX加壳工具对Python脚本进行加壳处理。

- 执行命令：`upx --ultra --best your_script.py`- 观察加壳前后的文件大小变化。

（2）ASProtect加壳- 使用ASProtect加壳工具对Python脚本进行加壳处理。

- 注册并下载ASProtect软件。

- 根据ASProtect提供的教程进行加壳操作。

3. 加壳对软件性能影响- 使用Python脚本运行时间作为指标，对比加壳前后的运行时间。

- 使用内存占用作为指标，对比加壳前后的内存占用。

4. 加壳对软件安全性影响- 使用静态分析工具对加壳前后的软件进行代码分析，对比发现代码结构变化。

- 使用动态分析工具对加壳前后的软件进行运行分析，对比发现运行行为变化。

四、实验结果与分析1. UPX加壳结果- 加壳前文件大小：1.2MB- 加壳后文件大小：0.5MB- 运行时间：加壳前后基本无差异- 内存占用：加壳前后基本无差异2. ASProtect加壳结果- 加壳前文件大小：1.2MB- 加壳后文件大小：0.6MB- 运行时间：加壳后运行时间略长- 内存占用：加壳后内存占用略高3. 加壳对软件安全性影响- UPX加壳：代码结构变化不大，安全性提升有限。

- ASProtect加壳：代码结构变化较大，安全性提升明显。

最常见的加壳软件有3个：ASPACK 、UPX、PEcompact。

毕竟它们是主流，据统计，用它们加壳的软件约占市面所有软件的90%！其他不常用的加壳软件有ASPROTECT、PETITE 、NEOLITE、TELOCK等，因为使用较少，本文不作介绍。

软件最常见的编程语言是Delphi，Visual Basic(简称VB)，Visual C++(简称VC)。

了解些编程的知识，会让破解更加轻车熟路。

好了，让我们来进行破解的第一步——侦测出软件的“壳”和软件所用的编程语言。

具备这种“慧眼”的软件主要有以下4个：fileinfo、language2000、Peid、pe-scan。

下面详细介绍一下它们的使用方法，希望大家能够熟练掌握，并利用它们拨开壳的层层迷雾，揭开壳的神秘面纱。

1.侦测“壳”的软件fileinfo（/fi25.zip），简称fi，侦壳能力极强。

它有两种使用方法，采用其中一种即可。

届时，壳的信息为绿色字，显示在左上角。

第一种使用方法：把待侦测“壳”的软件(如xx.exe)和fi.exe位于同一目录下，执行Windows 开始菜单的“运行”，键入“fi aa”即可。

第二种：让待侦测壳的软件(如xx.exe)和fi.exe位于同一目录下，将xx的图标拖到fi的图标上。

最常见的加壳软件有3个：ASPACK 、UPX、PEcompact。

毕竟它们是主流，据统计，用它们加壳的软件约占市面所有软件的90%！其他不常用的加壳软件有ASPROTECT、PETITE 、NEOLITE、TELOCK等，因为使用较少，本文不作介绍。

软件最常见的编程语言是Delphi，Visual Basic(简称VB)，Visual C++(简称VC)。

了解些编程的知识，会让破解更加轻车熟路。

好了，让我们来进行破解的第一步——侦测出软件的“壳”和软件所用的编程语言。

具备这种“慧眼”的软件主要有以下4个：fileinfo、language2000、Peid、pe-scan。

壳,加壳,脱壳,介绍壳的一些基本常识免杀入门 2009-08-06 16:58 阅读7 评论0 字号：大大中中小小在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。

它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。

就像动植物的壳一般都是在身体外面一样理所当然（但后来也出现了所谓的“壳中带籽”的壳）。

由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。

就像计算机病毒和自然界的病毒一样，其实都是命名上的方法罢了。

从功能上抽象，软件的壳和自然界中的壳相差无几。

无非是保护、隐蔽壳内的东西。

而从技术的角度出发，壳是一段执行于原始程序前的代码。

原始程序的代码在加壳的过程中可能被压缩、加密……。

当加壳后的文件执行时，壳－这段代码先于原始程序运行，他把压缩、加密后的代码还原成原始程序代码，然后再把执行权交还给原始代码。

软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的OEP（入口点，防止被破解）。

关于“壳”以及相关软件的发展历史请参阅吴先生的《一切从“壳”开始》。

（一）壳的概念作者编好软件后，编译成exe可执行文件。

1.有一些版权信息需要保护起来，不想让别人随便改动，如作者的姓名，即为了保护软件不被破解，通常都是采用加壳来进行保护。

2.需要把程序搞的小一点，从而方便使用。

于是，需要用到一些软件，它们能将exe可执行文件压缩，3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。

实现上述功能，这些软件称为加壳软件。

（二）加壳软件最常见的加壳软件ASPACK ，UPX，PEcompact 不常用的加壳软件WWPACK32；PE-PACK ；PETITE NEOLITE （三）侦测壳和软件所用编写语言的软件因为脱壳之前要查他的壳的类型。

1.侦测壳的软件fileinfo.exe 简称fi.exe（侦测壳的能力极强）。

2.侦测壳和软件所用编写语言的软件language.exe（两个功能合为一体，很棒），推荐language2000中文版（专门检测加壳类型）。

压缩工具加密保护（Protectors）ASProtect 1.2ASProtect 1.23RC!SDKASProtect 1.31 build06.14ASProtect 1.32 Beta build 10.20 ASProtect 1.33 build 03.07ASProtect 1.35 Keygenerator-TMG ASProtect 1.35 build 04.25 ReleaseASProtect 2.0 build 01.13ASProtect 2.0 Build 06.23 AlphaASProtect SKE 2.11 03.13.crkASProtect SKE v2.x Keygen-ECLiPSEASProtect.SKE 2.2 build 04.25 ReleaseASProtect.SKE 2.3 build 03.19 beta.crk ASProtect.SKE 2.3 build 04.26.beta.汉化版ASProtect.SKE 2.3 build 05.14 beta ASProtect.SKE.v2.41.Build.02.26 ASProtect.SKE 2.51 09.22 Beta 这个壳在pack界当选老大是毫无异议的，当然这里的老大不仅指它的加密强度，而是在于它开创了壳的新时代，SEH,BPM断点的清除都出自这里，更为有名的当属RSA的使用，使得Demo版无法被crack成完整版本,code_dips也源于这里。

IAT的处理即使到到现在看来也是很强的。

他的特长在于各种加密算法的运用，这也是各种壳要学习的地方。

特点：兼容性与稳定性最好，商业软件应用的很广大。

ASProtect 1.x系列，低版本用Stripper工具可自动脱壳。

ASProtect SKE 2.x强度大大提高，主要是高级输入保护，特别是抽OEP、SDK。

ASProtect.v.1.35.Keygen适用于04.25以前版本。

上机实验报告一、目的及要求实验目的：使用不同的加壳工具对已知恶意代码样本进行加壳操作，掌握不同加壳软件的使用方法，清楚各类加壳工具的加壳特点和强度。

实验要求：(1)Aspack、Asprotect、Armadiollo和Themida等加壳工具，对恶意代码pe.exe进行加壳；(2)比较加壳前后样本在大小、节数量、入口点等方面的变化；(3)将加壳后的恶意代码用杀毒软件进行查杀，通过查杀结果比较各加壳工具的加壳强度。

二、环境（软、硬件平台）虚拟机：安装winXP操作系统，各加壳软件、PE文件格式查看软件以及360杀毒软件。

工具：(1) ASPACK 2.29:ASPACK是一种可压缩32位Windows EXE文件与DLL文件的压缩壳，能将大多数EXE文件及DLL压缩到原体积的30%-40%，比行业标准的zip文件压缩率高10%-20%；(2) Asprotect 6.26：ASProtect是一款强大的Win32程序加壳软件，它拥有压缩、加密、反跟踪、CRC校验以及代码混淆等保护措施。

它采用了Blowfish、Twofish、TEA等加密算法，并利用1024位的RSA算法作为注册密钥的生成器。

它还提供API钩子与加壳程序进行通信，并为软件开发人员提供SDK，更加促进了程序与壳之间的相互融合。

(3) Armadillo 4.40：也称穿山甲，是一款应用面较广的壳。

它运用多种手段来保护目标程序，同时也可以为程序加上种种限制，包括时间、次数，启动画面等等，很多商用软件采用其加壳。

Armadillo 支持所有语言编写的32位PE文件。

(4) Themida是Oreans公司的一款商业壳，可以针对32位和64位的Windows程序进行保护。

Themida最大特点就是采用了所谓SecureEngine的虚拟机保护技术，当它在高优先级的情况下运行时，具称能够抵御当前破解者采用的所有破解技巧。

(5) PE_Info：PE Info是一款用于查看PE文件详细信息的软件，可查看运行平台及区块数目、创建时间及日期、程序执行入口及DOS、PE头+区块表。