3.5 脱壳工具

一般情况下，脱壳后的文件长度往往会大于原文件长度，即使同一个文件，使用了不同的脱壳软件进行脱壳之后，由于不同脱壳软件的原理不同，脱出来的文件大小也不完全相同。

脱壳文件有以下两大类。

●通用脱壳软件：这种脱壳软件可以脱掉很多种类型的壳，具有通用性。

●专用脱壳软件：这种脱壳软件是有针对性地对某种加壳软件进行脱壳，虽然它的适用面比较窄，但对特定的壳特别有效。

下面介绍几款黑客常用的脱壳工具。

3.5.1 UnPECompact脱壳工具

脱用PECompact加的壳有一个专用工具，那就是UnPECompact，它属于通用脱壳软件，可以脱不同类型的壳。这里以脱一个被PECompact加过壳的WinRAR软件为例进行介绍。

具体的操作步骤如下：

Step 01 运行脱壳软件UnPECompact主程序，即可打开UnPECompact软件的主界面。

Step 02 单击【开始】按钮，即可打开【选择被加壳的文件】对话框，在其中选择WinRAR软件。

Step 03 此时单击【打开】按钮，就可以在UnPECompact主界面中看到WinRAR软件被PECompact加过壳的脱壳情况了。

3.5.2 ProcDump脱壳工具

ProcDump是一款功能非常强大的通用脱壳工具，支持几十种加壳工具生成压缩加密软件，具有重建PE结构功能、区段编辑功能、未知类型壳的尝试脱壳功能等。

使用ProcDump对软件进行脱壳的具体步骤如下：

Step 01 下载并运行ProcDump软件，即可打开其运行主界面。

Step 02 单击【选项】按钮，即可打开【ProcDump32选项】对话框。

Step 03 在设置完成之后单击【确定】按钮，即可返回ProcDump主界面。此时单击【解包】按钮，即可打开【选择解包器】对话框。

Step 04 在其中选择合适的解包器，然后单击【确定】按钮，即可打开【选择可执行文件】对话框。

Step 05 在其中选择要脱壳的软件，就可以对软件进行脱壳了。

3.5.3 UN-PACK脱壳工具

UN-PACK是一款脱壳工具的集合，它集众多脱壳工具于一体，采用统一的窗口，可自动查出软件被哪类加壳工具加了壳，并提示相关的文件信息（导入导出表、图像基址等），帮助用户使用合适的脱壳工具为软件脱壳。

使用UN-PACK软件脱壳的具体操作步骤如下：

Step 01 单击【开始】按钮，选择【运行】命令，在【运行】对话框中输入“Un-pack.exe [目标文件路径及文件名称]”命令，单击【确定】按钮，运行UN-PACK主程序，打开UN-PACK软件主界面。

Step 02 将加过壳的软件复制到UN-PACK所在路径，即可得到如下图所示的执行结果，完成对软件的脱壳操作。