软件脱壳后为什么运行不了

一、脱壳是否成功的标志

一般说来，对软件脱壳是不会改变原软件的运行机制的。它只是将加密的IAT地址还原成装载前的API函数名字串的地址，并以明码方式显示。脱壳是否成功的标志是软件运行前图标与脱壳前一致、运行时windows并未发出“……，初始化失败……”的警告，那么脱壳大体是成功的。若出现初始化失败警告，则百分之百是IID表或IAT表搞错了。

二、用OD加载时出现“异常”或直接运行时，windowsd出“发送错误报告”消息。

原因：

（1）OEP入口地址错误；

（2）在手动脱壳时“张冠李戴”，把某函数的地址写到了另一个函数的地址上去了。

三、软件一运行就退出

1．原因：

（1）如果脱壳前软件能（直接）运行，脱壳后软件一闪而过，说明软件有“文件校验”。软件脱壳前后的最大变化是文件尺寸变化，那么软件的“校验和”一定要发生变化，当它发现“校验和”变了时，知道了你对软件“动了手脚”，它就毫不犹豫地退出了。若这时你想找到“文件校验”的位置，无异于大海捞针！

（2）如果脱壳后能直接运行，但用OD加载时就退出或有无法跳过的异常，则是有“反跟踪”部件。（这和脱不脱壳没有关系）反跟踪不是本文今天讨论的内容，只是附带说一声。

2．对策：

在一个软件中去找出它的“文件检验”代码在什么地方，同样得用“思想”，和破案也差不多。别急，先看看它是什么语言编写的。若是用“VC++”或“Delphi”编写的，则脱壳后的软件对于使用者，则基本上没有秘密可言。唯一的是它们的“call”嵌套太深，要进行底层的跟踪，很容易跟丢。举个例子，说明跟踪方法。

有个商业软件，脱壳前可以运行，脱壳后就不能运行了。它是用“VC++”编写的。

3．破解思路：

用“VC++”或“Delphi”来编写软件，有它快捷方便的一面。但是，因为它不能直接对内存进行 *** 作，所以灵活性受到很大影响。例如，它就不能对运行中的内存文件进行“校验和”检验，若非要检验，除非在VC编程中嵌入ASM代码，但这样一来，地址的起点和终点难于确定，且给调试带来麻烦。一个变通的办法是：打开同一文件的一个“副本”，检验它“副本”的“校验和”也可以达到对自身检验的目的。这样一来，软件的秘密也就暴露无遗了，用OD来查看(已经脱壳的)软件怎样打开另一个文件，那实在是“再容易”不过的事情了！

4．具体 *** 作：

（1）用OD打开要跟踪的软件，右键打开搜索“所有模块间的调用”，在所有“CreateFile”和“ReadFile”的调用地址上设断点。

（2）运行OD，按“F9”，中断在一个CreateFile上：

CreateFile中断：（该函数的返回值是被打开文件的句柄）

……………………………………………………………………

0013E708 0013E90C |FileName = "E:\xxxx\New_xxxxxxxexe"

0013E70C 80000000 |Access = GENERIC_READ

0013E710 00000003 |ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE

0013E714 00000000 |pSecurity = NULL

0013E718 00000003 |Mode = OPEN_EXISTING

0013E71C 00000080 |Attributes = NORMAL

0013E720 00000000 \hTemplateFile = NULL

……………………………………………………………………

以上是堆栈中的显示，其中，FileName = "E:\xxxx\New_xxxxxxxexe"是将要打开的文件。若不是正在运行中的同名文件，则继续按“F9”。其余的参数是打开方式，不重要。

监视CreateFile中断的另一个收获是知道了该软件在硬盘上写入了哪些文件，比如注册表中、系统文件夹中等（我最讨厌那些在硬盘中乱写文件的软件）。更重要的是，若软件有“反跟踪”代码，那么“CreateFile”或“FindWindow”等API函数调用时，它明码显示的文件名或窗口名是某个“调试软件”，就表明它在“反跟踪”，若发现了它们，相应的“反—反跟踪”措施也应该不是太困难的事。当然，高明的作者用VC也会让你伤透脑筋。

当FileName=“正在运行的文件名时”， 再按“F9”来到ReadFile的中断上：

ReadFile中断：

…………………………………………………………

0013E708 000001C0 |hFile = 000001C0

0013E70C 0013EA10 |Buffer = 0013EA10

0013E710 00001000 |BytesToRead = 1000 (4096)

0013E714 0013E71C |pBytesRead = 0013E71C

0013E718 00000000 \pOverlapped = NULL

0013E71C 00000000

0013E720 00001000

0013E724 004C5CD7

0013E728 0000016F ；调用次数记录

…………………………………………………………

其中，hFile = 000001C0是打开的文件句柄，Buffer = 0013EA10是保存读入数据的地址，BytesToRead = 1000 (4096)是读入的字节数，其余的不重要。

由于一个软件，不可能只有1000h字节，一次不能读完，所以ReadFile要调用多次，调用的次数总可以在某个寄存器中或堆栈中找到，这里（0013E728 ：0000016F）就是递减的调用次数。每调用一次，后面的程序就将这1000h字节累加一次，稍加跟踪就到了“校验和”代码处：

（3）文件“校验和”代码：

……………………………………

004E0164 8D85 E0EFFFFF lea eax,dword ptr ss:[ebp-1020] ；eax=读入字节存放地址

004E016A > 33C9 xor ecx,ecx

004E016C 8A08 mov cl,byte

ptr ds:[eax]

004E016E 014D EC add dword ptr ss:[ebp-14],ecx ；[ebp-14]=累加值

004E0171 40 inc eax

004E0172 4A dec edx ；1000h字节的计数

004E0173 ^ 75 F5 jnz short 004E016A

004E0175 > 4B dec ebx ；调用次数计数

004E0176 ^ 75 C6 jnz short 004E013E

004E0178 > 836D EC 7B sub dword ptr ss:[ebp-14],7B ；累加完成后的修正

004E017C 8D85 48EDFFFF lea eax,dword ptr ss:[ebp-12B8]

004E0182 E8 B564F2FF call 0040663C

………………………………………

累加结果存放在[ebp-14]=0013FA1C中。

不停地按“F9”，并观查（0013E728 ：0000016F）中的值，当它变为1时，就单步跟踪，“比较转跳”代码就近在咫尺了。

（4）“比较转跳”代码：

………………………………………

004E0182 E8 B564F2FF call 0040663C ；这就是前面的最后一行

004E0187 E8 E826F2FF call 00402874 ；释放一些内存等善后（VC特有）

004E018C 837D F4 00 cmp dword ptr ss:[ebp-C],0

004E0190 75 22 jnz short 004E01B4

004E0192 8B45 E4 mov eax,dword ptr ss:[ebp-1C] ；取0013FA14的检验值

004E0195 3B45 EC cmp eax,dword ptr ss:[ebp-14] ；和累加值比较

004E0198 75 13 jnz short 004E01AD ；最关键的(非0)转跳

004E019A BB 01000000 mov ebx,1

004E019F 8B45 FC mov eax,dword ptr ss:[ebp-4]

004E01A2 FE80 10450100 inc byte ptr ds:[eax+14510]

004E01A8 E9 96000000 jmp 004E0243

004E01AD > 33DB xor ebx,ebx

004E01AF E9 8F000000 jmp 004E0243

5．修改代码：

到了现在，文件检验和转跳都清楚了，修改就变得十分简单，只需将：(用16进制编辑器)

……………………………………………………………………

004E0198 75 13 jnz short 004E01AD ；改为：90 90 nop ,nop

…………………………………………………………………………

壳，脱壳，加壳

在自然界中植物用它来保护种子，动物用它来保护身体等。同样，在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然（但后来也出现了所谓的“壳中带籽”的壳）。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。

（一）壳的概念

作者编好软件后,编译成exe可执行文件。

1

有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等，即为了保护软件不被破解，通常都是采用加壳来进行保护。

2

需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩,

3

在黑客界给木马等软件加壳脱壳以躲避杀毒软件。

4

实现上述功能,这些软件称为加壳软件。

（二）加壳软件最常见的加壳软件ASPACK

,UPX,PEcompact

不常用的加壳软件WWPACK32；PE-PACK

；PETITE

；NEOLITE

（三）侦测壳和软件所用编写语言的软件，因为脱壳之前要查他的壳的类型。

1侦测壳的软件fileinfoexe

简称fiexe(侦测壳的能力极强)

2侦测壳和软件所用编写语言的软件languageexe(两个功能合为一体,很棒)

推荐language2000中文版（专门检测加壳类型）

3软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC)

（四）脱壳软件。

软件加壳是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的手段。

拿到一个软件先别接着马上用 OllyDBG 调试，先运行一下，有帮助文档的最好先看一下帮助，熟悉一下软件的使用方法，再看看注册的方式。如果是序列号方式可以先输个假的来试一下，看看有什么反应，也给我们破解留下一些有用的线索。如果没有输入注

以上就是关于软件脱壳后为什么运行不了全部的内容，包括:软件脱壳后为什么运行不了、什么叫加壳什么叫脱壳怎样加壳怎样脱壳、求助脱壳，peid检测为Borland Delphi 6.0等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！