壳

压缩引擎：aPLib,JCALG1,LZMA

压缩壳：UPX,ASPack,PECompact

加密壳：ASProtect,Armadillo(穿山甲)，EXECryptor,Themida

虚拟机：VMProtect

脱壳：

1.保存入口参数：pushad/popad,pushfd/popfd

2.GetProcAddress,GetModuleHandle,LoadLibrary

3.解密原程序的各区块的数据

4. IAT的初始化

5.重定位项的处理

6.HOOK-API

7.跳转到程序原入口点(OEP)

手动脱壳：1.查找程序的真正入口点 2.抓取内存映像文件 3.PE文件重建