常用脱壳工具:https://www.arpun.com/soft/list_1_308.html
1、文件分析工具(侦测壳的类型):Fi, GetTyp, peid, pe-scan,
2、OEP入口查找工具:SoftICE, TRW, ollydbg, loader, peid
3、dump工具:IceDump, TRW, PEditor, ProcDump32, LordPE
4、PE文件编辑工具PEditor, ProcDump32, LordPE
5、重建Import Table工具:ImportREC, ReVirgin
6、ASProtect脱壳专用工具:Caspr(ASPr V1.1-V1.2有效), Rad(只对ASPr V1.1有效), loader, peid
(1)Aspack: 用的最多, 但只要用UNASPACK或PEDUMP32脱壳就行了
(2)ASProtect+aspack:次之, 国外的软件多用它加壳, 脱壳时需要用到SOFTICE+ICEDUMP, 需要一定的专业知识, 但最新版现在暂时没有办法。
(3)Upx: 可以用UPX本身来脱壳, 但要注意版本是否一致, 用-D 参数
(4)Armadill: 可以用SOFTICE+ICEDUMP脱壳, 比较烦
(5)Dbpe: 国内比较好的加密软件, 新版本暂时不能脱, 但可以破解
(6)NeoLite: 可以用自己来脱壳
(7)Pcguard: 可以用SOFTICE+ICEDUMP+FROGICE来脱壳
(8)Pecompat: 用SOFTICE配合PEDUMP32来脱壳, 但不要专业知识
(9)Petite:有一部分的老版本可以用PEDUMP32直接脱壳, 新版本脱壳时需要用到SOFTICE+ICEDUMP, 需要一定的专业知识
(10)WWpack32:和PECOMPACT一样其实有一部分的老版本可以用PEDUMP32直接脱壳, 不过有时候资源无法修改, 也就无法汉化, 所以最好还是用SOFTICE配合 PEDUMP32脱壳 我们通常都会使用Procdump32这个通用脱壳软件, 它是一个强大的脱壳软件, 他可以解开绝大部分的加密外壳, 还有脚本功能可以使用脚本轻松解开特定外壳的加密文件。 另外很多时候我们要用到exe可执行文件编辑软件ultraedit。 我们可以下载它的汉化注册版本, 它的注册机可从网上搜到。 ultraedit打开一个中文软件, 若加壳, 许多汉字不能被认出 ultraedit打开一个中文软件, 若未加壳或已经脱壳, 许多汉字能被认出 ultraedit可用来检验壳是否脱掉, 以后它的用处还很多, 请熟练掌握例如, 可用它的替换功能替换作者的姓名为你的姓名注意字节必须相等, 两个汉字替两个, 三个替三个, 不足处在ultraedit编辑器左边用00补。
