无壳程序,程序的壳是什么

当boxed 程序运行时，首先执行shell 程序boxed 程序在运行时必须恢复成原来的形式，即boxed 程序的文件头在运行后必须解压缩到程序中。shell和压缩软件的压缩区别在于，压缩软件只能压缩程序，而shell压缩程序后的exe、com、dll等文件可以正常运行程序，这里有一个外壳检测软件PEIDv0.92，可以检测450种外壳，新版本中增加了病毒扫描功能。

这个你看不出来。如果只是判断是否加壳，不管加什么壳，最直接易懂的方法就是用十六进制模式打开，搜索软件执行时显示的ASCII码或中文内码的字符串，加壳后无法搜索。注意按逆序搜索。比如软件显示“你好2012”，你不仅要搜索“你好2012”，还要搜索“你好2102”。如果不能全部找到，那真的没什么。没有外壳的外壳将在c 中显示。

Shell:实际上是用一种特殊的算法对EXE和DLL文件中的资源进行压缩和加密。效果类似WINZIP，只是压缩文件可以独立运行，解压过程完全隐藏在内存中完成。它们附加在原程序上并通过Windows loader加载到内存中，它们在原程序之前执行以获得控制权。执行过程中，原程序被解密还原，还原完成后控制权返回原程序。

嘉华:其实按照“随机说明”来理解可能更合适。它真正的英文名应该是thunkcode(不确定，呵呵)。我们知道，汇编语言实际上是机器指令的符号化。某种程度上，只是更容易理解机器指令一点。每一条汇编语句在汇编时都会根据cpu特定的指令符号表翻译成二进制代码。

使用OK或专用剥壳机！脱壳的方法主要有两种:硬脱壳和动态脱壳。第一种是硬脱壳，就是找出被脱壳软件的脱壳算法，写出逆向算法，就像压缩和解压一样。因为现在的外壳具有加密、变形、虚拟环境等特点，每次添加外壳生成的代码都不一样。硬炮轰无能为力，二是动态炮轰。boxed 程序在运行时必须恢复成原来的形式，即boxed 程序的文件头在运行后必须解压缩到程序中。

此时，我们可以将映像转储到内存中，并重建标准执行文件。所以我们脱离了外壳。(PS:现在的加密外壳比较复杂——所谓加壳，就是通过一系列数学运算改变可执行文件程序 file或者动态链接库文件的代码(现在还有一些加壳软件可以压缩加密程序)，从而减小文件大小或者加密程序。当boxed 程序运行时，首先执行shell 程序

Step 1查一下shell的概念:所谓的“shell”就是一个特殊的压缩工具。这里的压缩不是我们通常使用的RAR、ZIP等工具的压缩。外壳的压缩是指对程序exe、com、dll等文件进行压缩，在程序上添加一层类似保护层的代码，使原来的程序文件代码失去原来的样子。从而保护程序不被非法修改和反编译。这个代码就像一个保护层，与自然动植物的外壳有很多相似之处，所以我们形象地称之为程序的外壳。