压缩引擎:aPLib,JCALG1,LZMA
压缩壳:UPX,ASPack,PECompact
加密壳:ASProtect,Armadillo(穿山甲),EXECryptor,Themida
虚拟机:VMProtect
脱壳:
1.保存入口参数:pushad/popad,pushfd/popfd
2.GetProcAddress,GetModuleHandle,LoadLibrary
3.解密原程序的各区块的数据
4. IAT的初始化
5.重定位项的处理
6.HOOK-API
7.跳转到程序原入口点(OEP)
手动脱壳:1.查找程序的真正入口点 2.抓取内存映像文件 3.PE文件重建