Windows系统exe查壳工具：exeinfope – 悟夜叉个人博客

对于PE可执行文件来说，为了保护可执行文件或者是压缩可执行文件，通常会对该文件进行加壳。接触过软件破解的人应该都清楚壳的概念。

PE文件结构中大多用的是偏移地址，因此，只要偏移地址和实际的数据相符，那么PE文件格式有可能是嵌套的。也就是说，PE文件是可以变形的，只要保证其偏移地址和PE文件格式的结构基本就没多大问题。对于PE可执行文件来说，为了保护可执行文件或者是压缩可执行文件，通常会对该文件进行加壳。

可能大家知道 PEiD，但是很久没更新了，Exeinfo PE 类似于 PEiD，而且还一直在更新。

在APK程序中有很多加固厂商，那么EXE也有很多加固程序，加壳工具通常分为压缩壳和加密壳两类。压缩壳的特点是减小软件体积大小，加密保护不是重点。目前兼容性和稳定性比较好的压缩壳有：

1、UPX（官方主页：http://upx.）：UPX是开源的，它的开发近乎完美，它不包含任何反调试或保护策略。
2、ASPack（官方主页：http://www.）：ASPack可压缩Win32位可执行文件EXE、DLL、OCX，具有很好的兼容性和稳定性。
3、PECompact（官方主页：http://www.）等。

UPX 压缩壳

加密壳种类比较多，不同的壳侧重点不同，一些壳单纯保护程序，另一些壳提供额外的功能，如提供注册机制、使用次数、时间限制等。目前比较流行的壳有：

1、ASProtect（官方主页：http://www.）：ASProtect很注重兼容性和稳定性，采用的反调试策略较少。此壳使用广泛，研究较多，有些版本有脱壳机。
2、EXECrptor（官方主页：http://www.）：EXECrptor的Anti-Debug比较强大，做的比较隐蔽，并有虚拟机功能。
3、Armadillo（官方主页：http://www.）：Armadillo是一款应用较广的加密壳。
4、Themida（官方主页：http://www.）： Themida 是Oreans的一款商业保护软件，加密强度很高。最大的特点就是其虚拟机保护技术，因此应在程序中擅用SDK，将关键的代码用虚拟机保护起来， Themida还有一个系列产品WinLicense主要多一个协议，可以设定使用时间、运行次数等功能，两者核心保护是一样的。
5、EncryptPE（官方主页：http://www.）：EncryptPE能防静态分析修改，反动态跟踪调试，有效地保护软件，防止盗版。EncryptPE采用众多加密保护手段：随机加密算法、CRC 校验、变形、代码替换、进程注入、APIHOOK、多线程、调试运行、全程监控等。
6、TTProtect（官方主页：http://www.）：TTProtect是后起之秀，加密强度非常高，吸收众多保护工具的优点，并加入了独有的特色功能；使用了特别的反跟踪方法，使得对保护对象的非法调试非常困难，并且对保护代码进行全局优化、乱序和混淆，使得非法分析相当困难。