upx 加壳参数

首先我们要先准备我们的工具：1.Procdump1.502.Ultraedit6.10 （这个你也可以用别的编辑器）3.Winsoftice4.04.Trw0.755.MakePE1.276.Wdasm8.93好了！工具都准备齐全了，我们就去下载一个实验品吧！今次我们选的是UPX ，在 Procdump1.50 的脱壳文件列表中，你可以清楚地看到有 UPX 的选项，所以我们今次就选它了，目前它的最新版本是0.82 ，好了下载完毕了，我们先用它来为软件加一个脱吧！操作：1. 在 windows 上打开一个 Dos 窗口 , 进入 UPX0.82 所在的目录；2. 输入 upx [ 要加壳的文件路径和文件名 ]3.OK! 加壳成功了！好了！现在可以试一试脱壳了！操作：1. 运行 Procdump1.50 ；2. 按 Unpack 按钮，这时就出现了 Choose Unpacker 窗口；3. 在窗口中选择 UPX ，这时就会跳出一个选择你要脱壳文件的选择窗口；4. 按下打开，哦天啊！好痛苦啊！程序没有脱壳竟然运行了，Procdump1.50 提示一个错误发生在 script 的第一行。

以上的所有操作，是对自动脱壳来说的，基本上的自动脱壳的操作都是这样的。

好了，难道就这样没有戏唱了吗？作者写文章那会就写这几十行废话呢？请接着看下面的吧！好了，看一看它没有没防住winsoftice 呢？重新启动机器，换一个有安装 winsoftice 的windows 平台吧！再次运行被加脱了的程序，还好！没有当掉winsoftice ，这样心中暗喜，你有难了啊！看来外国人写的东西还是比较有善，不象 Ding Boy 的幻影系列，比小燕子还凶（ ^o^ ，又说 Ding Boy 的坏话了，其实有时我觉得他比较象 Crack 界的小燕子，令人又爱又恨）。

好了关闭程序，用 winsoftice 载入去，唉刚刚还说好呢！原来它还是对 winsoftice 作了一点小动作，winsoftice 不能中断于程序的入口的第一句处。

【文章标题】: 双层UPX壳脱壳【文章作者】: 大春【软件名称】: 象棋助手【软件大小】: 503KB【下载地址】: 自己搜索下载【加壳方式】: UPX【编写语言】: VC++【使用工具】: FL YOD,PEID,IMPROT REC【操作平台】: XP SP3【软件介绍】: 象棋助手【作者声明】: 本人是新手，纯的，绝对是第一次脱壳，恩恩！！本教程由深圳天荷伞业的整理专业从事雨伞、太阳伞、礼品伞、高尔夫伞、发光伞、广告伞等产品的专业雨伞厂我们的网站是（）有您的支持我们会更专注。

--------------------------------------------------------------------------------【详细过程】在新手区，看见一位仁兄，脱这个壳当中遇到一些问题，在这里做个简单的脱壳+破解，望能给新手朋友们解惑，其实我也有其他问题，想请教大神，但是找不到啊~~小小感叹一下，那么闲聊就到这里看是整题。

关于目标/showthread.php?p=1091447#post1091447这里有下载PEID查壳，本人采用的是0.95版PEID查得PEBundle 2.0b5 - 3.0x -> Jeremy Collake 头一次见到。

再观其区段UPX0UPX1.RSRC.PEUPX0UPX1.RSRCPEBUNDLE应该是里面一层UPX壳，外面再一层UPX壳。

不知道作者的目的，鄙人感觉一层和两层，对于UPX壳来说都是浮云。

那么FL YODBG载入吧，OD忽略所有异常0051F000 > 9C pushfd0051F001 60 pushad0051F002 E8 02000000 call Me2QQZGX.0051F0090051F007 33C0 xor eax,eax0051F009 8BC4 mov eax,esp停在这里了，不管她是不是UPX看到这个就应该想到ESP定律了（老牛B了，鄙人感觉仅次于牛顿定律）那么F8走到CALL XXXXXXX也就是过了PUSHAD以后的第一行代码处，可以下硬件访问DWORD断点了，如何下？在寄存器ESP上右键---数据窗口中跟随---数据窗口中点中第一行---右键断点--硬件访问--DWORD断点。

免杀技术详解减小字体增大字体逆流风注：本文是去年投给黑客X档案的，与那期的主题乐园内容重叠，故未被选上，我也不另投其他杂志，转贴请注明出处，保留版权。

一、加壳免杀壳按照性质不同可分为压缩壳和加密壳，使用压缩壳压缩过的软件体积会减小很多，我们常用的UPX、ASPACK、FSG就是压缩壳，加密壳是防止软件被破解而加的壳，常见的加密壳有tElock、幻影、ASProtect 等。

加壳免杀是我们常用的免杀方法，操作简单，但是免杀的时间不长，可能很快就被杀。

但是经过加花指令、修改特征码后再加壳，免杀效果就相当好了，所以我们还是有必要了解一下。

实例：用NEW、[MSLRH] v0.31a加壳免杀NEW是一款俄国人写的具有高压缩率的壳。

压缩率高，而且压缩后的程序基本不会被查杀，值得一用。

以疯狂qq大盗build0709无壳版为例，使用NEW加壳。

文件由原来的800K变成411K。

接下来我们再用加密壳[MSLRH] v0.31a来加密疯狂qq大盗build0709无壳版。

[MSLRH] v0.31a能伪装成其它壳。

先用PEiD查下疯狂qq大盗build0709无壳版，没加壳，用[MSLRH] v0.31a加壳，在“令PEiD（V.93）探测为：随便选一个壳名称，用ASPack吧。

加好后文件大小变成872K，再用PEiD探测，变成ASPack 了（如图1）。

下面对比一下加壳效果和免杀效果。

用瑞星查杀，两个加过壳的疯狂qq大盗都躲过了瑞星的表面查杀而没加壳的瑞星查出来了。

（如图2、图3）二、修改入口点免杀杀毒软件的杀毒引擎大多以文件的入口处来判断文件是否是病毒或木马。

我们通过修改文件的入口点能躲过大部分杀毒软件的查杀。

实例：将疯狂qq大盗build0709无壳版的入口点加1免杀修改入口点，我们使用的是Peditor。

首先，用Peditor打开将疯狂qq大盗build0709无壳版，看左上角文件性息中的入口点，疯狂qq大盗build0709无壳版的入口点是00063DC8，00063DC8+1＝00063DC9，将入口点改为00063DC9，再点击“应用更改”，就OK了。

《万能数据库查询分析器》的EXE文件加壳技术万能数据库查询分析器（Universal Database Query Analyzer）是一款常用的数据库查询工具，可以连接多种类型的数据库，并通过简单的语法来执行查询操作。

为了保护软件的安全性和版权，开发者常常会使用加壳技术来防止被破解或篡改。

在本文中，我们将介绍《万能数据库查询分析器》的EXE文件加壳技术。

加壳技术是一种将原始可执行文件（EXE）包装在壳程序中的方法。

它可以提供一层保护，使得破解者难以直接分析和修改程序的逻辑和代码。

加壳技术的主要目的是增强软件的抗逆向工程能力和安全性。

在《万能数据库查询分析器》的EXE文件中，可以采用如下的加壳技术：1. 加壳器选择：选择一个合适的加壳器是第一步。

常见的加壳器有Themida、UPX、Enigma Protector等。

根据软件的特点和需求，选择一个适合的加壳器进行加壳操作。

2.加壳过程：加壳器通过修改可执行文件的文件头和代码区段来进行加壳。

首先，加壳器会创建一个壳程序，并将原始可执行文件插入到壳程序中的一些位置，形成新的加壳文件。

然后，加壳器会对加壳文件进行一系列的修改和加密操作，包括改变文件结构、加密代码段、混淆控制流等。

3.动态解壳：在运行时，加壳文件会首先执行壳程序，进行解壳操作。

解壳操作包括解密代码段、还原文件结构等。

解壳后，程序会开始正常执行。

加壳技术可以提供多种保护功能，如：1.反调试功能：加壳器可以通过修改PE结构中的调试信息或使用反调试技术来防止调试器的使用。

2.加密保护：加壳器可以对加壳文件的代码段进行加密，使得破解者无法直接获取和分析代码。

3.完整性保护：加壳器可以通过校验和或数字签名等方式验证加壳文件的完整性，防止被篡改。

4.虚拟机保护：加壳器可以通过使用虚拟机技术，在运行时创建一个隔离的执行环境，防止逆向分析和调试操作。

然而，加壳技术也有一些缺点和挑战：1.兼容性问题：加壳技术可能会导致一些兼容性问题，如无法在一些环境中正常运行或与其他软件冲突等。

如何将EXE安装文件脱壳和破解--之解决办法步骤1 检测壳壳的概念：所谓“壳”就是专门压缩的工具。

这里的压缩并不是我们平时使用的RAR、ZIP 这些工具的压缩，壳的压缩指的是针对exe、com、和dll等程序文件进行压缩，在程序中加入一段如同保护层的代码，使原程序文件代码失去本来面目，从而保护程序不被非法修改和反编译，这段如同保护层的代码，与自然界动植物的壳在功能上有很多相似的地方，所以我们就形象地称之为程序的壳。

壳的作用： 1.保护程序不被非法修改和反编译。

2.对程序专门进行压缩，以减小文件大小，方便传播和储存。

壳和压缩软件的压缩的区别是压缩软件只能够压缩程序而经过壳压缩后的exe、com和dll等程序文件可以跟正常的程序一样运行下面来介绍一个检测壳的软件 PEID v0.92 这个软件可以检测出 450种壳新版中增加病毒扫描功能，是目前各类查壳工具中，性能最强的。

另外还可识别出EXE文件是用什么语言编写的VC++、Delphi、VB或Delphi等。

支持文件夹批量扫描我们用PEID对easymail.exe 进行扫描找到壳的类型了 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 说明是UPX的壳下面进行步骤2 脱壳对一个加了壳的程序，去除其中无关的干扰信息和保护限制，把他的壳脱去，解除伪装，还原软件本来的面目。

这个过程就叫做脱壳。

脱壳成功的标志脱壳后的文件正常运行，功能没有损耗。

还有一般脱壳后的文件长度都会大于原文件的长度。

即使同一个文件，采用不同的脱壳软件进行脱壳，由于脱壳软件的机理不通，脱出来的文件大小也不尽相同。

关于脱壳有手动脱壳和自动脱壳自动脱壳就是用专门的脱壳机脱很简单按几下就 OK了手动脱壳相对自动脱壳需要的技术含量微高这里不多说了 UPX是一种很老而且强大的壳不过它的脱壳机随处就能找到 UPX本身程序就可以通过 UPX 文件名－d 来解压缩不过这些需要的命令符中输入优点方便快捷缺点DOS界面为了让大家省去麻烦的操作就产生了一种叫 UPX SHELL的外壳软件 UPX SHELL v3.09 UPX 外壳程序！目的让UPX的脱壳加壳傻瓜化注：如果程序没有加壳那么我们就可以省去第二步的脱壳了，直接对软件进行分析了。

最常见的加壳软件有3个：ASPACK 、UPX、PEcompact。

毕竟它们是主流，据统计，用它们加壳的软件约占市面所有软件的90%！其他不常用的加壳软件有ASPROTECT、PETITE 、NEOLITE、TELOCK等，因为使用较少，本文不作介绍。

软件最常见的编程语言是Delphi，Visual Basic(简称VB)，Visual C++(简称VC)。

了解些编程的知识，会让破解更加轻车熟路。

好了，让我们来进行破解的第一步——侦测出软件的“壳”和软件所用的编程语言。

具备这种“慧眼”的软件主要有以下4个：fileinfo、language2000、Peid、pe-scan。

下面详细介绍一下它们的使用方法，希望大家能够熟练掌握，并利用它们拨开壳的层层迷雾，揭开壳的神秘面纱。

1.侦测“壳”的软件fileinfo（/fi25.zip），简称fi，侦壳能力极强。

它有两种使用方法，采用其中一种即可。

届时，壳的信息为绿色字，显示在左上角。

第一种使用方法：把待侦测“壳”的软件(如xx.exe)和fi.exe位于同一目录下，执行Windows 开始菜单的“运行”，键入“fi aa”即可。

第二种：让待侦测壳的软件(如xx.exe)和fi.exe位于同一目录下，将xx的图标拖到fi的图标上。

最常见的加壳软件有3个：ASPACK 、UPX、PEcompact。

毕竟它们是主流，据统计，用它们加壳的软件约占市面所有软件的90%！其他不常用的加壳软件有ASPROTECT、PETITE 、NEOLITE、TELOCK等，因为使用较少，本文不作介绍。

软件最常见的编程语言是Delphi，Visual Basic(简称VB)，Visual C++(简称VC)。

了解些编程的知识，会让破解更加轻车熟路。

好了，让我们来进行破解的第一步——侦测出软件的“壳”和软件所用的编程语言。

具备这种“慧眼”的软件主要有以下4个：fileinfo、language2000、Peid、pe-scan。

压缩工具加密保护（Protectors）ASProtect 1.2ASProtect 1.23RC!SDKASProtect 1.31 build06.14ASProtect 1.32 Beta build 10.20 ASProtect 1.33 build 03.07ASProtect 1.35 Keygenerator-TMG ASProtect 1.35 build 04.25 ReleaseASProtect 2.0 build 01.13ASProtect 2.0 Build 06.23 AlphaASProtect SKE 2.11 03.13.crkASProtect SKE v2.x Keygen-ECLiPSEASProtect.SKE 2.2 build 04.25 ReleaseASProtect.SKE 2.3 build 03.19 beta.crk ASProtect.SKE 2.3 build 04.26.beta.汉化版ASProtect.SKE 2.3 build 05.14 beta ASProtect.SKE.v2.41.Build.02.26 ASProtect.SKE 2.51 09.22 Beta 这个壳在pack界当选老大是毫无异议的，当然这里的老大不仅指它的加密强度，而是在于它开创了壳的新时代，SEH,BPM断点的清除都出自这里，更为有名的当属RSA的使用，使得Demo版无法被crack成完整版本,code_dips也源于这里。

IAT的处理即使到到现在看来也是很强的。

他的特长在于各种加密算法的运用，这也是各种壳要学习的地方。

特点：兼容性与稳定性最好，商业软件应用的很广大。

ASProtect 1.x系列，低版本用Stripper工具可自动脱壳。

ASProtect SKE 2.x强度大大提高，主要是高级输入保护，特别是抽OEP、SDK。

ASProtect.v.1.35.Keygen适用于04.25以前版本。

脱壳方法浅谈步骤1 检测壳壳的概念：所谓“壳”就是专门压缩的工具。

这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩，壳的压缩指的是针对exe、com、和dll等程序文件进行压缩，在程序中加入一段如同保护层的代码，使原程序文件代码失去本来面目，从而保护程序不被非法修改和反编译，这段如同保护层的代码，与自然界动植物的壳在功能上有很多相似的地方，所以我们就形象地称之为程序的壳。

壳的作用：1.保护程序不被非法修改和反编译。

2.对程序专门进行压缩，以减小文件大小，方便传播和储存。

壳和压缩软件的压缩的区别是压缩软件只能够压缩程序而经过壳压缩后的exe、com和dll等程序文件可以跟正常的程序一样运行下面来介绍一个检测壳的软件PEID v0.92这个软件可以检测出450种壳新版中增加病毒扫描功能，是目前各类查壳工具中，性能最强的。

另外还可识别出EXE文件是用什么语言编写的VC++、Delphi、VB或Delphi等。

支持文件夹批量扫描我们用PEID对easymail.exe进行扫描找到壳的类型了UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo说明是UPX的壳下面进行步骤2 脱壳对一个加了壳的程序，去除其中无关的干扰信息和保护限制，把他的壳脱去，解除伪装，还原软件本来的面目。

这个过程就叫做脱壳。

脱壳成功的标志脱壳后的文件正常运行，功能没有损耗。

还有一般脱壳后的文件长度都会大于原文件的长度。

即使同一个文件，采用不同的脱壳软件进行脱壳，由于脱壳软件的机理不通，脱出来的文件大小也不尽相同。

关于脱壳有手动脱壳和自动脱壳自动脱壳就是用专门的脱壳机脱很简单按几下就OK了手动脱壳相对自动脱壳需要的技术含量微高这里不多说了UPX是一种很老而且强大的壳不过它的脱壳机随处就能找到UPX本身程序就可以通过UPX 文件名－d来解压缩不过这些需要的命令符中输入优点方便快捷缺点DOS界面为了让大家省去麻烦的操作就产生了一种叫UPX SHELL的外壳软件UPX SHELL v3.09UPX 外壳程序！目的让UPX的脱壳加壳傻瓜化注：如果程序没有加壳那么我们就可以省去第二步的脱壳了，直接对软件进行分析了。