UPX Shell(upx加壳工具)

UPX Shell是一款非常实用的upx加壳工具。它能够支持EXE、COM、DLL、SYS、OCX等多种文件格式，具有性能稳定，功能强大的特点，通过它用户可以很轻松地调用UPX来实现对程序文件的压缩和解压缩操作，且被压缩过的程序或程序库体积可缩小50%-70%，但在功能上却不会有任何影响。另外该软件可以设置中文语言，国内用户可以无语言压力进行使用，欢迎有需要的朋友免费下载。

汉化教程

安装软件后，直接在在“Options”中选择“简体中文”即可。

功能特色

1、参照程序内置的提示信息，进一步提取、整合，所有的界面词语均做到语言文件中。

2、调整了主程序界面的字体为 Tahoma，在所有 NT 内核的简体中文环境中界面均美观。

3、内置了 UPX 1.25、UPX 2.03 和 UPX 3.94 压缩引擎。

4、通过 UPX 压缩过的程序和程序库体积可缩小50%-70%，而在功能上完全没有损失！

5、支持多种文件类型，如 DOS/Windows 可执行文件、动态链接库、控件等。

使用方式

1、打开软件进入主界面点击“加壳”按钮，选择需要加壳的exe文件

2、在弹出的“加壳参数”窗口中，选择需要使用的upx加壳方式，可选择简单压缩、多重压缩等方式

3、点击“确定”后，就可以开始进行加壳操作，UPxshell会自动执行文件加密和压缩操作

4、加壳完成后，可以在输出窗口中查看加壳结果，并将生成的新文件保存到指定路径。

UPXShell壳分析

1、壳的起点在文件头中查找"UPX!"这个字符串，如果存在，则表明该文件使用了upx壳，解密和还原顺序如下：

1）将解密函数地址、模块地址、解压后数据大小、压缩标记等信息放在通用寄存器中

2）从。text段第一个入口点处开始执行

3）根据解密算法解密壳的内容

4）还原壳中的IAT信息，使得程序能够正确执行

⒉、解密壳的代码UPX壳的加密方式一般采用了简单的异或加密，通过对解密函数地址进行异或操作来获取真实地址。此外，UPX也会随机生成一个密码，并储存在壳的头文件中，在解密时使用此密码来还原秘钥。

3、还原壳中的IAT信息经过上一步的解密后，仍需要进行lAT还原才能正常执行程序。病毒作者会利用壳执行到派发函数时，修改API调用地址为代码中虚拟地址，以此使得程序正常运行。

更新日志

v3.42版本

1、升级内置压缩引擎模块 UPX3 至 UPX 3.94。