首先说明一下，这篇文章是转自
/read.php?tid=1667455
这个教程主要是讲判断程序是否加壳，所以老鸟飞过。

很多人一看到这里，就会说用PEID查壳就行了呀，其实不然。

现在一些商用的软件为了加密来保护知识产权，已不满足于ASProtect、ACProtect 等这些有名的强壳，这些壳虽加密强度高，对新手来说遥不可及，但因为很多人研究，已经很容易手动脱壳。

所以这些商家就想到了自行加壳（这在看雪的加密与解密中有提到）和修改程序入口的特征（搞黑客，做木马免杀的都知道），这样查壳工具就会显示无壳，但其实还是加了壳的，有时还不止一层壳。

那怎么准确的判断是否加壳呢？这就是今天的主要内容。

首先按照常规给软件查壳
看上去没有壳，那我们再深入看看，点击PEID右下角的扩展信息试试
判断1: 你有没有压缩呀？
天骄无双小说:
虽然壳有压缩壳和加密壳，但现在大多数的壳都有压缩功能，而现在PEID提示压缩的可能非常大，也就是说加壳的可能性很大，当然Ollydbg在载入时也有类似的提示。

但这些还不能完全准确地判断，还是OD载入试试
判断2: 好多命令有问题哦！
看见了吗，很多是未知命令或错误命令，一般程序不会是这样的吧！再看看
判断3: 我知道你有多少
一般加壳程序为了不让人破解，就会加密一些重要的信息，比如文本字串，这个软件查找文本字串时会出现错误，显然作者有东西不让我们知道
到这里，同学们都知道这软件八成就是加壳的，那还有什么其他特征呢
判断4: 跳转和循环
一般来说，加壳的软件一般都有很多的跳转，而且没有规律，大多是JMP，循环出现在算注册码的时候，但有时用在加壳程序在内存中解码的时候，所以可以作为脱壳的突破口
判断5: 雷人的命令
这程序真的很雷人，004DA3C2的命令就是一个死循环，进去就出不来说到这里，我突然想到有些壳会故意加这些命令来使OD提示异常，有些可以跳过，有些（比如这个软件）OD会提示无法回避命令，这样的话，个人推荐StrongOD插件，具体设置见图
设置好了，就可以跳过大多数的异常了，当然在记得在不用的时候把钩去掉
对于这种不明的壳，只有手动了，具体的手动操作大家可以在百度找“手动脱壳”，我就不提了
个人尝试了一下，找到一个疑似OEP的地方
入口是Dephi的，而壳刚刚查过，是VC的，那么这是OEP的可能很大，脱壳试试
修复过程很正常，但是运行时出错
个人觉得奇怪的是既然系统提示出错，为何软件又运行了，难道是自
校验。

但也许是我修复输入表时有问题。

教程就写到这里了，牛人可以试试脱壳，能脱的，请回复一下，简要讲讲脱壳的过程，或是另外写一个帖子，反正就是要分享经验了。

把软件地址附上/file/f3915243ea 2011常识判断名师模块-伍景玉01.exe
难点3.jpg(37.46 KB, 下载次数: 2)。