如何判断软件是否加壳

1. 我用PEiD.exe查壳，怎么知道那软件是上了壳的啊

软件编写一般就c.c++.vb.vb.net
如果查出有壳的话，就不会显示软件是什么编写的，而会显示加壳的类型，例如：asp....

2. 怎样看一个软件有没有“壳”如果有“壳”又会怎样

作者为了不让别人看到软件的代码，会在软件本身加上若干的壳，可以压缩软件大小、防止别人修改他的软件
有些病毒也可以通过加壳的方式躲过杀毒软件的查杀，就是免杀

3. 如何查看软件是否还有壳

一般出现像Microsoft Visual Basic 5.0 / 6.0、Microsoft Visual C++ 7.0 [Debug]这种明文编译工具的就属于没加壳的，而出现一些常见壳名或什么也没发现的就属于已经加壳了的脱壳后的不能运行 去查看入口是否改动

4. 请问如何用PEID查看软件是否加壳，

1、打开DiE 6.4。

注意事项：

PEiD内置有差错控制的技术，所以一般能确保扫描结果的准确性。前两种扫描模式几乎在瞬间就可得到结果，最后一种有点慢，原因显而易见。

5. 加壳病毒的判断方法

如何判断一个可执行文件是否被加了壳呢？有一个简单的方法（对中文软件效果较明显）。用记事本打开一个可执行文件，如果能看到软件的提示信息则一般是未加壳的，如果完全是乱码，则多半是被加壳的。我们还可以使用一款叫做Fileinfo的工具来查看文件具体加的是什么壳。目前，较常见到的壳有“UPX”、“ASPack”、“PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“木马彩衣”等等。

6. 怎么看文件有没有加壳

加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段.
加壳过的程序可以直接运行,但是不能查看源代码.要经过脱壳才可以查看源代码.
加“壳”其实是利用特殊的算法，对EXE、DLL文件里的资源进行压缩。类似WINZIP 的效果，只不过这个压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。解压原理，是加壳工具在文件头里加了一段指令，告诉CPU，怎么才能解压自己。加“壳”虽然增加了CPU附带但是减少了硬盘读写时间，实际应用时加“壳”以后程序运行速度更快（当然有的加“壳”以后会变慢，那是选择的加“壳”工具问题）。
一般软件都加“壳”这样不但可以保护自己的软件不被破解、修改还可以增加运行时启动速度。
加“壳”不等于木马，我们平时的巨大多数软件都加了自己的专用“壳”。
RAR和ZIP都是压缩软件不是加“壳”工具，他们解压时是需要进行磁盘读写，“壳”的解压缩是直接在内存中进行的，用RAR或者ZIP压缩一个病毒你试试解压缩时杀毒软件肯定会发现，而用加“壳”手段封装老木马，能发现的杀毒软件就剩不下几个。
因为加壳了之后等于把这个文件进行了保护(就是有些杀毒软件杀不了的原因)
因为文件不能重复加壳.判断依据是文件是否已经加了保护

7. 怎么看软件加没加壳

凭这个是看不出来的。
如果仅仅是判断是否加壳，而不管加的什么壳，最直接最容易理解的方法就是以HEX方式打开，在里面搜索软件执行中显示的ASCII码或中文内码的字串，加壳以后是搜索不到的。
注意正序反序都要搜索，比如软件中显示“”2012你好“，不但要搜索”2012你好“，还要搜索”好你2102“，全都搜不到才是真正没有。

8. 如何判断一个文件是否被加壳

我一般简单判断文件是否加壳，使用 PEid，Language2000 等，他们是第三方软件。

或者通过 Stu_PE 查看它的区段，一般第一区段是 “.text” 且入口点在第一区段之类的是未加壳。其他的需要一些经验判断。

用 OD 调试器观察入口点也能做一些判断。

当然，Stu_PE 和 OD 都是软件。

还有用 UltraEdit 直接分析 PE 结构的，UltraEdit 也是软件。

如果不用第三方软件，我只能用 CreateFile，ReadFile 这些函数从文件里读取到特定的二进制数据进行分析。

当然，要使用这些函数，我必须使用一些编译器软件。

用记事本直接打开EXE也能看到区段名，但操作系统是软件，记事本也是软件，如果你想通过显示器看到或者通过喇叭听到信息，你必须通过软件来操作硬件。

完全彻底不用软件的方法，我想只能拆开硬盘，找到这个文件所在的地方，通过特定的设备给予硬盘特定的电子指令读取数据来判断了。

纯属猜想，技术能力有限。

9. 如何用程序判定一个PE文件是否加壳

开始切入正题前，让我先解释一下这篇文章的结构。 一个很平凡的题目（命名的确是很头疼的问题，以此命名的原因是希望能在搜索引擎提高命中率：D），但却不好回答。 当我拿到需求并且与需求方确认后将需求分解为以下2个层次： 1.初级需求是函数的返回值是BOOL型，返回True或者False表示是否加壳。 2.高级需求是函数的返回值必须能返回表示壳的种类，返回壳ID或者壳名称。 关于手动脱壳的分析员来说判断一个PE文件是否加壳方法太多，而且通常非常容易。但是如果将这些方法一一列举出来后，我发现用程序来模拟这些人工的动作有3个问题： 1.大部分方法，实现起来比较复杂。 2.有些方法误判率非常高。 3.大部分方法，判定的壳种类非常有限。 所以本文的正文部分结构上分成二个部分，分别尝试去回答上面的两个问题。第一章解决第1个小问题，其中又分成两个小节使用两种技术来分别实现；第二章解决第2个小问题。希望你能按照顺序阅读全文。 在开始旅行前，有一些共识需要强调一下。Pack的英文直译过来应该是“被压缩”的意思。而中文里“壳”的意思更多的是强调“被保护”（“壳”的历史不是这篇文章的重点）这里要说明的是，尽管按照中文的习惯，我更多的使用“加壳”这个词语，但本文试图解决的问题--检测一个PE文件是否“被压缩”，而不是是否“被保护”。

10. 如何判断EXE文件有没有加壳

1.入口特征识别法
PEID\FFI等查壳工具都用这种方法

2.文件熵值计算,参考
http://www..com/s?cl=3&wd=%CE%C4%BC%FE%EC%D8%D6%B5&fr=ikw1000

3.区段法:
判断文件入口点是否在第一区段,如果不在,则说明已加壳.

推荐去[看学安全论坛],上面有许多类似文章.