所謂軟件脫殼就是對軟件加殼的逆操作，亦就是把軟件上存在的殼去掉。在上世紀90年代后期，加殼方式的軟件保護與破解的優勢經歷了交替上升和此消彼長的過程。脫殼技術的進步促進、推動了加殼技術的發展，在這種外部環境的催生下，各種加殼脫殼的軟件也如雨后春筍般出現。
在這里為大家介紹一下Themida、Winlicense和Enigma三種具有代表性的軟件脫殼的總結。

Themida：

是一個強勁的保護系統， 專為了那些想保護自己的程式不被先進的反向工程和黑客軟件破解的軟件開發者而開發的Themida使用SecureEngine®的保護技術。它能夠以最高的優先等級運行，這些保護技巧是從來都沒在電腦防御技術領域出現過，使它最大程度地保護 任何程式 。Themida最主要的目的是遮蓋所有的現行的軟件保護技巧上的漏洞。
但是Themida破壞了程序的入口代碼并用一段殼代碼取代了它,根本模糊了OEP界線.要么脫殼不完全,要么進不了程序代碼(菜鳥的膚淺認識).但Themida也暴露出了它自身的弱點，以下是Themida脫殼的思路：

首先我們先看看Themida的OEP：

從圖中可以看出:

1. 它對入口代碼的破壞一般只有幾十個字節,對一些固定模式的入口程序,如VC++,VB,Delphi等入口的發現和修復還是比較容易的.Themida對它不熟習的入口代碼則脫殼后原樣不變!這時,OEP就清晰了.
2. 和所有的加殼軟件一樣,Themida也只能在現場獲取API地址,經加密后再寫入程序代碼中.正確的API地址一定會在某個寄存器中瞬間出現,這就暴露了它加密的蛛絲馬跡,捕獲在themida代碼中出現API地址的代碼段就成為了脫殼的突破口..
3. 任何程序運行完成后都會"返回到kernel32.7C816FD"(菜鳥的膚淺認識).因此當堆棧頂是"返回到kernel32.7C816FD"時,是從殼代碼進入程序代碼的重要標志

抓住以上三點作為突破口就可進行對Themida的脫殼。

Winlicense：

Winlicense的OEP小特征：

對于Winlicense2.1.0.10及其以下版本，不用license，可自己隨意構造一個license直接bypass.然后脫殼。 bypass過程如下：

1. 先獲得license名稱，自己隨便構造一個license，然后OD運行程序，彈出提示窗口后獲得JMP的首地址：FirstJmpAddress。
2. 下FirstJmpAddress硬件斷點，重新運行程序，中斷后，在第二個jmp，enter進入，然后搜索cmp ecx,eax，下斷點，運行，中斷在CmpEcxEaxAddress。  
3. 運行幾次后，會得到eax,ecx不同的值，其中eax為正確的checkword,把eax值賦給ecx即可。共有兩次不同，所以有兩個checkword。  
4. 搜索kenrel.dll的首地址，本機為7c800000, ctrl+B,輸入：00 00 80 7C。再搜索dll地址的第二個地址，可以獲得SecondDllAddress。在改完第二個checkword后，把SecondDllAddress更改為首個dll地址，運行即可bypass.

接下來就是Winlicense脫殼：

• 把bypass的script插入zhw hwid Themida - Winlicense 1.x - 2.x Multi PRO Edition 1.2.txt中即可實現bypass加脫殼。
• 搜索/*zhw bypass   */部分可看到插入的script.

Enigma：

1. OEP查找：

   這種方法就不說了，各種編譯器特征碼，敏感API都可以實現，基本上Enigma都是通過jmp eax到達OEP的。

2. bypass crc：

   

   在跟蹤過程中，先把CRC給bypass了，這樣下斷或inline patch就會比較簡單了。

3. 修復IAT Redirection

   

   只要把以上灰色部分給NOP掉即可強制不使用IAT Redirection，跟蹤方法一般是通過看IAT什么時候被Redirection來定位具體代碼位置（通過搜索FF 25等方法）。

4. 阻止API Emulation

   

   注意上面的TEST EDI,20的關鍵字，通常可以用來定位API Emulation。 把灰色部分NOP掉即可阻止API Emulation。

5. Fix Data Relocation等根據實際情況修復即可。

總結：

通過這篇文章我相信大家對軟件的脫殼技術的過程思路都有了大致的了解了，從軟件加密的角度來說充分了解了脫殼的機制，那么你對軟件加殼的技術一定會有更深入的了解，希望這篇文章能對大家在軟件加密方面有所幫助。