第2课用相应工具软件为软件自动脱壳(非手动脱壳)解析.docVIP

第二课 用相应工具软件为软件自动脱壳（非手动脱壳） 欲破解一个软件,我们首先应根据前面的内容侦测它的壳,然后我们要把它的壳脱去,还原软件的本来面目。如果软件是一个PLMM，我们不喜欢穿衣服的MM，我们不喜欢艺术照的MM，我们迫不及待地想把MM脱光，想把MM骗上床。带壳的软件以后很难分析，带壳的穿衣的MM很难调教，壳是一个拦路虎，我们却不知武松醉在何处。这就如同我们要吃糖炒栗子，必须先剥掉栗子壳一样。这一课就教给你如何用自动剥壳机去掉花生壳、栗子壳之类的东东。 若侦测出它根本没加壳,就可省掉这一步了（现在没加壳的软件已经很少很少了，除非软件作者缺乏最基本的加密解密常识）。 脱壳成功的标志是脱壳后的文件能正常运行，功能没有任何损耗。一般来说，脱壳后的文件长度大于原文件长度；即使同一个文件，当采用不同脱壳软件进行脱壳的时候，由于脱壳软件机理不同，脱出来的文件大小也不尽相同。但只要能够运行起来，这都是正常的，就如同人的体重，每次上秤，份量都有所不同。但只要这个人是健康的，就无所谓，合乎情理。 一、脱壳软件的两大类别（两个门派――少林、武当） 脱壳软件主要分两大类：专用脱壳软件（武当派）和通用脱壳软件（少林派，源自“全民皆武，天下英雄出少年”）。每个专用脱壳软件只能脱掉特定的一种或两种加壳软件所加的壳，也就是说它是专门针对某种加壳软件的某个版本而制作的。通用脱壳软件则具有通用性，可以脱掉许多种不同类型的壳。根据“以一当一”的原则，专用类此门派为“武当”派。 大家可能会有这样的疑问？既然有通用脱壳软件，为什么还要专用脱壳软件呢？所谓“术业有专攻”，通用的脱壳程序往往不能精确地适用于某些软件，而专用的脱壳程序适用面虽窄，对付特定的壳却极为有效。因此，少林派和武当派缺一不可，相辅相成。均掌握了武术之精髓，能置“壳”以死地，打得壳满地找牙，第一时间以迅雷不及掩耳之势极速脱掉壳MM的衣衫。 二、专用脱壳软件的四大类别根据壳的流行程度，常用的脱壳软件主要有三类：脱Aspack类（叉A）、脱UPX类（叉U）、脱pecompact类（叉P，怎么又跟微软搞到一块儿了），分别针对前面提到的3个加壳软件。剩下的全都归到一个其他类中。下面详细介绍它们的使用方法： （一） 脱ASPack壳软件（叉A）――重点 针对ASPack壳的软件主要有两个： AspackDie,AsprStripper。 1. AspackDie（A死） AspackDie (作者网站，需要代理才能访问支持ASPack 2.11/2.11c/2.11d/2.12版所加壳的脱壳。此软件的优点是支持新版ASPack壳、图形界面、使用方便、操作简单。最新版本1.41。 ★使用方法：傻瓜式软件，运行后选取欲脱壳的软件即可完成脱壳工作。AspackDie软件运行界面如图1所示。 图1 AspackDie运行界面 脱壳时注意：目标程序的属性不能为“只读”，否则会失败。下面举个例子（ex1701）。运行AspackDie软件，选定ex1701，如图2。 图2 选定目标文件ex1701 选定后，鼠标单击“打开”按钮，即完成脱壳工作，如图3。在ex1701所在目录生成脱壳后的文件，其名称为Unpacked.exe。 图3 脱壳成功时的画面 2.AsprStripper Asprstripper（作者网站：/syd/）功能非常强大，能对付ASPack 2.xx版本的各种标准壳和变种壳，它只能运行在windows 2000/xp平台上。它还能对付ASProtect 1.2x壳。AsprStripper软件运行界面如图4。 图4 AsprStripper软件运行界面 下面举个例子（ex1701）。运行AsprStripper软件，点击右上角的“open”按钮选定目标程序ex1701，点击“打开”按钮，如图5。 图5选定目标程序ex1701 然后点击右边的“unpacking”按钮，开始自动脱壳，完成后，在信息栏显示“－done”。在ex1701所在目录生成脱壳后的文件，其名称为_ex1701.exe。如图6。 图6 AsprStripper自动脱壳界面 （二） 脱UPX壳软件（叉U）――重点 脱UPX壳软件主要有三个：UPX；FS；UPX-Ripper。 1.UPX UPX（主页）既是加壳软件，又是脱壳软件。UPX经过不断的升级更新，有很多版本，脱UPX壳最好使用与加壳所用版本相同的UPX脱壳。由于收集起来相当困难，故根据新版本的向下兼容性，我们用UPX的最新版本就足够了，当前最新版本是UPX1.9版。 ★使用方法：将待脱壳的软件(如aa.exe和upx.exe放于同一目录下,执行windows起始菜单的运行,键入upx -d aa.exe 优点：脱壳快捷。 缺点：DOS界面。为了弥补UPX的缺点，第三方开发