论壳与加壳技术

核心提示：在这外壳程序风起云涌的几年间，出现了无数优秀的外壳，论壳与加壳技术，CoDe_inJect曾谈过对几种流行壳的看法，我斗胆结合他的言论描述一下现在常见的保护外壳：ASProtect无可争议的外壳界老大，可惜的是由于作者对RSA的错误理解，使破解者可以做出注册机，它开创了壳的新时代，SEH与各种流行反跟踪技术、多态变形引

在这外壳程序风起云涌的几年间，出现了无数优秀的外壳，CoDe_inJect曾谈过对几种流行壳的看法，我斗胆结合他的言论描述一下现在常见的保护外壳：

ASProtect

无可争议的外壳界老大，它开创了壳的新时代，SEH与各种流行反跟踪技术、多态变形引擎的使用（准确来说是从病毒中借用）、BPM断点清除等都出自于此；更为有名的当属RSA算法的使用，使得DEMO版无法被破解成完整版；CodeDips也源于这里；输入表处理即使现在看来仍很强劲。开发壳应该学习它各种算法的熟练运用，而它最失败之处就是反跟踪过于温柔，令破解者轻松研究。

tELock

大名鼎鼎的一款免费的保护软件，具有较强的反跟踪能力，用SEH控制DRx结合内存校验封杀了BPM断点和SuperBPM等工具。并有BPE32变形引擎产生很多异常代码干扰跟踪。输入表的修复让人头痛了好一阵子，于此形成讽刺意味的是，输入表在重定向之前会在内存中以完整的形态出现。值得一提的是heXer花费了数月零散时间，将它逆向并做出了一个加强版，称之为tELockX。

PELock

PELock应该是很多壳的综合，输入表处理、RSA算法、反跟踪、清除断点、SHE都用到了，而且是第一个可以在Win98下检测出IceDump的壳。在这个壳中第一次使用了清除代码、加密代码、锁定代码，使被加密的程序更难转储。

DBPE

这个壳在国内如日中天，奥妙在于哪里？就在于反跟踪做得比较完善，它是很早使用驱动的壳，虽然驱动的运用仅仅是为了在WinNT下切到Ring-0，但开创了壳使用驱动的先例。输入表处理一般，修改了中断向量并使用其进行解码，一些版本中有MMXE变形引擎使跟踪起来眼花缭乱。可惜的是由于作者对RSA的错误理解，使破解者可以做出注册机，且即使不注册也可以脱壳。