黑客逆向破解基础-1：壳、加壳和脱壳分别是什么？加壳的解压原理介绍。

一、壳的概念

壳的概念，在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然（但后来也出现了所谓的“壳中带籽”的壳）。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样，其实都是命名上的方法罢了。从功能上抽象，软件的壳和自然界中的壳相差无几。无非是保护、隐蔽壳内的东西。而从技术的角度出发，壳是一段执行于原始程序前的代码。原始程序的代码在加壳的过程中可能被压缩、加密……。当加壳后的文件执行时，壳－这段代码先于原始程序运行，他把压缩、加密后的代码还原成原始程序代码，然后再把执行权交还给原始代码。
软件的壳分为：加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的OEP。OEP：(Original Entry Point)，程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP），只要我们找到程序真正的OEP，就可以立刻脱壳。 PUSHAD （压栈）代表程序的入口点，POPAD （出栈）代表程序的出口点，与PUSHAD相对应，一般找到这个OEP就在附近啦。

作者编好软件后，编译成exe可执行文件。其作用主要有：
1.有一些版权信息需要保护起来，不想让别人随便改动，如作者的姓名，即为了保护软件不被破解，通常都是采用加壳来进行保护；
2.需要把程序搞的小一点，从而方便使用。于是，需要用到一些软件，它们能将exe可执行文件压缩；
3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。
实现上述功能，这些软件称为加壳软件。

二、什么是加壳和脱壳技术？

加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变（目前还有一些加壳软件可以压缩、加密驱动程序），以达到缩小文件体积或加密程序编码的目的。加壳一般是指保护程序资源的方法。
脱壳，一般是指除掉程序的保护，用来修改程序资源。马甲”能穿也能脱。相应的，有加壳也一定会有解壳（也叫脱壳）。
脱壳主要有两种方法：硬脱壳和动态脱壳。
第一种，是硬脱壳，这是指找出加壳软件的加壳算法，写出逆向算法，就像压缩和解压缩一样。由于，目前很多“壳”均带有加密、变形的特点，每次加壳生成的代码都不一样。硬脱壳对此无能为力，但由于其技术门槛较低，仍然被一些杀毒软件所使用。
第二种，是动态脱壳。由于加壳的程序运行时必须还原成原始形态，即加壳程序会在运行时自行脱掉“马甲”。目前，有一种脱壳方式是抓取（Dump）内存中的镜像，再重构成标准的执行文件。相比硬脱壳方法，这种脱壳方法对自行加密、变形的壳处理效果更好。

三、加壳的解压原理

加壳工具在文件头里加了一段指令，告诉CPU，怎么才能解压自己。现在的CPU都很快，所以这个解压过程你看不出什么东西。软件一下子就打开了，只有你机器配置非常差，才会感觉到不加壳和加壳后的软件运行速度的差别。当你加壳时，其实就是给可执行的文件加上个外衣。用户执行的只是这个外壳程序。当你执行这个程序的时候这个壳就会把原来的程序在内存中解开，解开后，以后的就交给真正的程序。所以，这些的工作只是在内存中运行的。通常说的对外壳加密，都是指很多网上免费或者非免费的软件，被一些专门的加壳程序加壳，基本上是对程序的压缩或者不压缩。因为有的时候程序会过大，需要压缩。但是大部分的程序是因为防止反跟踪，防止程序被人跟踪调试，防止算法程序不想被别人静态分析。加密代码和数据，保护你的程序数据的完整性。不被修改或者窥视你程序的内幕。

加“壳”虽然增加了CPU负担，但是减少了硬盘读写时间，实际应用时加“壳”以后程序运行速度更快（当然有的加“壳”以后会变慢，那是选择的加“壳”工具问题）。

一般软件都会加“壳”，这样不但可以保护自己的软件不被破解、修改还可以增加运行时启动速度。

加“壳”不等于木马，我们平时的绝大多数软件都加了自己的专用“壳”。
RAR和ZIP都是压缩软件，不是加“壳”工具，他们解压时是需要进行磁盘读写，“壳”的解压缩是直接在内存中进行的。用RAR或者ZIP压缩一个病毒你试试，解压缩时杀毒软件肯定会发现。而用加“壳”手段封装木马，能发现的杀毒软件就少得多。

木马加壳的原理很简单，在黑客营中提供的多数木马中，很多都是经过处理的，而这些处理就是所谓的加壳。当一个程序生成好后，很轻松的就可以利用诸如资源工具和反汇编工具对它进行修改，但如果程序员给程序加一个壳的话，那么至少这个加了壳的程序就不是那么好修改了，如果想修改就必须先脱壳。