原创|其它|编辑：郝浩|2012-11-15 17:23:52.000|阅读 15247 次

概述：软件脱壳就是对软件加壳的逆操作。脱壳技术的进步促进、推动了加壳技术的发展，本文将三种脱壳技术做出对比，希望通过本文能让用户对脱壳有一定的了解，从而更好的保护自己的软件。

# 31款JAVA开发必备控件和工具 # 界面/文档管理/报表/IDE等4000款产品火热销售中 >>

所谓软件脱壳就是对软件加壳的逆操作，亦就是把软件上存在的壳去掉。在上世纪90年代后期，加壳方式的软件保护与破解的优势经历了交替上升和此消彼长的过程。脱壳技术的进步促进、推动了加壳技术的发展，在这种外部环境的催生下，各种加壳脱壳的软件也如雨后春笋般出现。 在这里为大家介绍一下Themida、Winlicense和Enigma三种具有代表性的软件脱壳的总结。

Themida是一个强劲的保护系统， 专为了那些想保护自己的程式不被先进的反向工程和黑客软件破解的软件开发者而开发的Themida使用SecureEngine®的保护技术。它能够以最高的优先等级运行，这些保护技巧是从来都没在电脑防御技术领域出现过，使它最大程度地保护 任何程式 。Themida最主要的目的是遮盖所有的现行的软件保护技巧上的漏洞。 但是Themida破坏了程序的入口代码并用一段壳代码取代了它,根本模糊了OEP界线.要么脱壳不完全,要么进不了程序代码(菜鸟的肤浅认识).但Themida也暴露出了它自身的弱点，以下是Themida脱壳的思路：

首先我们先看看Themida的OEP：

从图中可以看出:

抓住以上三点作为突破口就可进行对Themida的脱壳。

Winlicense的OEP小特征：

对于Winlicense2.1.0.10及其以下版本，不用license，可自己随意构造一个license直接bypass.然后脱壳。 bypass过程如下：

接下来就是Winlicense脱壳：

这种方法就不说了，各种编译器特征码，敏感API都可以实现，基本上Enigma都是通过jmp eax到达OEP的。

在跟踪过程中，先把CRC给bypass了，这样下断或inline patch就会比较简单了。

只要把以上灰色部分给NOP掉即可强制不使用IAT Redirection，跟踪方法一般是通过看IAT什么时候被Redirection来定位具体代码位置（通过搜索FF 25等方法）。

注意上面的TEST EDI,20的关键字，通常可以用来定位API Emulation。 把灰色部分NOP掉即可阻止API Emulation。

通过这篇文章我相信大家对软件的脱壳技术的过程思路都有了大致的了解了，从软件加密的角度来说充分了解了脱壳的机制，那么你对软件加壳的技术一定会有更深入的了解，希望这篇文章能对大家在软件加密方面有所帮助。

本站文章除注明转载外，均为本站原创或翻译。欢迎任何形式的转载，但请务必注明出处、不得修改原文相关链接，如果存在内容上的异议请邮件反馈至[email protected]