Question

什么是加壳？ 并提供几个常用加壳软件

Answer 1

加壳：其实是利用特殊的算法，对EXE、DLL文件里的资源进行压缩。类似WINZIP 的效果，只不过这个压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。解压原理，是加壳工具在文件头里加了一段指令，告诉CPU，怎么才能解压自己。现在的CPU都很快，所以这个解压过程你看不出什么东东。软件一下子就打开了，只有你机器配置非常差，才会感觉到不加壳和加壳后的软件运行速度的差别。当你加壳时，其实就是给可执行的文件加上个外衣。用户执行的只是这个外壳程序。当你执行这个程序的时候这个壳就会把原来的程序在内存中解开，解开后，以后的就交给真正的程序。所以，这些的工作只是在内存中运行的，是不可以了解具体是怎么样在内存中运行的。通常说的对外壳加密，都是指很多网上免费或者非免费的软件，被一些专门的加壳程序加壳，基本上是对程序的压缩或者不压缩。因为有的时候程序会过大，需要压缩。但是大部分的程序是因为防止反跟踪，防止程序被人跟踪调试，防止算法程序不想被别人静态分析。加密代码和数据，保护你的程序数据的完整性。不被修改或者窥视你程序的内幕。
其实我用的最多加壳就是给木马加壳，也便不被杀毒软件发现，但是现在类似卡巴斯基的杀毒软件都很厉害，任你怎么加，也能发现的。
加壳工具：Aspack 2.11，Pecompact v1.82, UPX 1.20 ，比较变态的fsg，自己找下载，很好找的

Answer 2

加壳工具的分类：

压缩壳

以隐藏程序代码和数据为目的，并将隐藏后的代码和数据进行压缩。但是，压缩壳由于在运行时会将代码段和数据段还原，所以安全性较低。

加密壳

功能与压缩壳类似，可以将代码和数据进行加密，也可以对单个函数加密，只有函数被执行时才进行解密。同样，由于在运行时仍需要解密代码和数据，所以只能起到辅助的效果。

虚拟机壳

将原始的指令经过虚拟化，翻译成自定义的虚拟机指令。由于虚拟机指令不对外公开，每次加壳都能产生随机化的虚拟机操作码，如果要逆向虚拟化的指令，需要先分析自定义虚拟机，分析难度极高。

常用的加壳工具：

1. VirboxProtector，国产加壳工具，一款虚拟机壳。支持的系统和开发语言多，安全性高，使用方便，更新免费。

2. VMP，国外的加壳工具，主要对pe程序保护。