一、一般来讲，加密就是加壳

我们经常考虑，一个可执行文件，怎么样加密才能安全呢？

一般用的手段，是加壳。加壳工具的工作原理，就是把可执行文件的代码与数据都进行加密变换，作为数据存放。生成的目标文件入口代码是加壳软件准备好的防跟踪代码。经过漫长的防跟踪代码后，会把原始可执行文件的代码与数据段恢复，然后跳转到原来的入口处，继续运行。这样做的缺点是，不管你的加密多强，防跟踪代码多牛，只要一运行，在内存中就全部恢复了。只要把内存映象dump下来，反汇编一下，就清清楚楚了。甚至有工具可以直接把dump下来的内存映象存为可执行文件。这样加密就彻底失败了。

简单加壳是不安全的，这大家都知道了。我们一般把上述简单的加壳方式叫“压缩壳”。所以现在的加壳软件都在上述“压缩壳”的基础上，多做了一些工作，比如：

* 防止内存被 dump 。这实际上是不可能做到的。因为Windows操作系统就不是一个安全系统，你怎么可能做到内存不被dump呢？曾有一个壳，我用了多种方法dump都不成功。但最后还是找到了一个方法成功dump了。我这才惊叹dump原来有这么多种方法，真是防不胜防。

* 修改文件入口代码。因为一般软件都是用常用的几种编译器编译生成的。如果加壳软件知道你是用什么编译器编的(这很容易)，把入口代码破坏掉，用另外一段功能类似的代码替换它。这样dump下来的代码就比较难找到正确的入口，直接被存为一个EXE的可能性就小多了。但还是会被反汇编的。

* 还有一些加壳软件，支持对一个或几个重点函数加密。甚至使用了虚拟机。但他们都只能重点加密少数几个函数，不可能把所有函数都加密。而且对这个函数还有很多要求。这可以想象。如果用汇编写一个函数，不加ret它可能连函数结束地址都找不到，怎么可能加密呢？

尽管加壳软件可以使用以上多种技术防止被跟踪，分析，还原，但我认为，它们仍然没没摆脱“壳”的这个中心思想。以上的这些技术不过是在“壳”的大前提下所做的一些小的插曲。它仍然是不安全的。