所謂軟件脫殼就是對(duì)軟件加殼的逆操作，亦就是把軟件上存在的殼去掉。在上世紀(jì)90年代后期，加殼方式的軟件保護(hù)與破解的優(yōu)勢(shì)經(jīng)歷了交替上升和此消彼長(zhǎng)的過程。脫殼技術(shù)的進(jìn)步促進(jìn)、推動(dòng)了加殼技術(shù)的發(fā)展，在這種外部環(huán)境的催生下，各種加殼脫殼的軟件也如雨后春筍般出現(xiàn)。
在這里為大家介紹一下Themida、Winlicense和Enigma三種具有代表性的軟件脫殼的總結(jié)。

Themida：

是一個(gè)強(qiáng)勁的保護(hù)系統(tǒng)， 專為了那些想保護(hù)自己的程式不被先進(jìn)的反向工程和黑客軟件破解的軟件開發(fā)者而開發(fā)的Themida使用SecureEngine®的保護(hù)技術(shù)。它能夠以最高的優(yōu)先等級(jí)運(yùn)行，這些保護(hù)技巧是從來都沒在電腦防御技術(shù)領(lǐng)域出現(xiàn)過，使它最大程度地保護(hù) 任何程式 。Themida最主要的目的是遮蓋所有的現(xiàn)行的軟件保護(hù)技巧上的漏洞。
但是Themida破壞了程序的入口代碼并用一段殼代碼取代了它,根本模糊了OEP界線.要么脫殼不完全,要么進(jìn)不了程序代碼(菜鳥的膚淺認(rèn)識(shí)).但Themida也暴露出了它自身的弱點(diǎn)，以下是Themida脫殼的思路：

首先我們先看看Themida的OEP：

從圖中可以看出:

1. 它對(duì)入口代碼的破壞一般只有幾十個(gè)字節(jié),對(duì)一些固定模式的入口程序,如VC++,VB,Delphi等入口的發(fā)現(xiàn)和修復(fù)還是比較容易的.Themida對(duì)它不熟習(xí)的入口代碼則脫殼后原樣不變!這時(shí),OEP就清晰了.
2. 和所有的加殼軟件一樣,Themida也只能在現(xiàn)場(chǎng)獲取API地址,經(jīng)加密后再寫入程序代碼中.正確的API地址一定會(huì)在某個(gè)寄存器中瞬間出現(xiàn),這就暴露了它加密的蛛絲馬跡,捕獲在themida代碼中出現(xiàn)API地址的代碼段就成為了脫殼的突破口..
3. 任何程序運(yùn)行完成后都會(huì)"返回到kernel32.7C816FD"(菜鳥的膚淺認(rèn)識(shí)).因此當(dāng)堆棧頂是"返回到kernel32.7C816FD"時(shí),是從殼代碼進(jìn)入程序代碼的重要標(biāo)志

抓住以上三點(diǎn)作為突破口就可進(jìn)行對(duì)Themida的脫殼。

Winlicense：

Winlicense的OEP小特征：

對(duì)于Winlicense2.1.0.10及其以下版本，不用license，可自己隨意構(gòu)造一個(gè)license直接bypass.然后脫殼。 bypass過程如下：

1. 先獲得license名稱，自己隨便構(gòu)造一個(gè)license，然后OD運(yùn)行程序，彈出提示窗口后獲得JMP的首地址：FirstJmpAddress。
2. 下FirstJmpAddress硬件斷點(diǎn)，重新運(yùn)行程序，中斷后，在第二個(gè)jmp，enter進(jìn)入，然后搜索cmp ecx,eax，下斷點(diǎn)，運(yùn)行，中斷在CmpEcxEaxAddress。  
3. 運(yùn)行幾次后，會(huì)得到eax,ecx不同的值，其中eax為正確的checkword,把eax值賦給ecx即可。共有兩次不同，所以有兩個(gè)checkword。  
4. 搜索kenrel.dll的首地址，本機(jī)為7c800000, ctrl+B,輸入：00 00 80 7C。再搜索dll地址的第二個(gè)地址，可以獲得SecondDllAddress。在改完第二個(gè)checkword后，把SecondDllAddress更改為首個(gè)dll地址，運(yùn)行即可bypass.

接下來就是Winlicense脫殼：

• 把bypass的script插入zhw hwid Themida - Winlicense 1.x - 2.x Multi PRO Edition 1.2.txt中即可實(shí)現(xiàn)bypass加脫殼。
• 搜索/*zhw bypass   */部分可看到插入的script.

Enigma：

1. OEP查找：

   這種方法就不說了，各種編譯器特征碼，敏感API都可以實(shí)現(xiàn)，基本上Enigma都是通過jmp eax到達(dá)OEP的。

2. bypass crc：

   

   在跟蹤過程中，先把CRC給bypass了，這樣下斷或inline patch就會(huì)比較簡(jiǎn)單了。

3. 修復(fù)IAT Redirection

   

   只要把以上灰色部分給NOP掉即可強(qiáng)制不使用IAT Redirection，跟蹤方法一般是通過看IAT什么時(shí)候被Redirection來定位具體代碼位置（通過搜索FF 25等方法）。

4. 阻止API Emulation

   

   注意上面的TEST EDI,20的關(guān)鍵字，通常可以用來定位API Emulation。 把灰色部分NOP掉即可阻止API Emulation。

5. Fix Data Relocation等根據(jù)實(shí)際情況修復(fù)即可。

總結(jié)：

通過這篇文章我相信大家對(duì)軟件的脫殼技術(shù)的過程思路都有了大致的了解了，從軟件加密的角度來說充分了解了脫殼的機(jī)制，那么你對(duì)軟件加殼的技術(shù)一定會(huì)有更深入的了解，希望這篇文章能對(duì)大家在軟件加密方面有所幫助。