我们所说的exe文件是window可执行文件，Portable Excutable，简称PE文件

PE文件格式

Portable_Executable_32_bit_Structure

exe破解所涉及的技术属于软件逆向工程软件逆向可以绕过软件使用限制、利用软件漏洞、制造外挂等。逆向工程并不能直接还原代码，但是可以分析行为特征来还原算法，从汇编层面修改程序执行流程。

如何破解

http://www.cjzzc.com/article/853.html

逆向破解步骤

· 反编译

· 调试

· 修改数据

防护策略

如何防护

· 防止反编译

· 反调试

· 防篡改

具体落地就是加壳

所谓的“壳”就是一种对软件进行保护的加密程序，它可以具体分为三种：（1）压缩壳压缩壳的主要目的是压缩应用程序的体积，例如最稳定的UPX可以将一般的应用程序压缩到原体积的30%左右。压缩壳并不会对被加壳程序本身做任何修改，而是直至将其换成一种更加节省空间的存储方式，其目的大致类似于我们经常使用的RAR或ZIP。经过压缩壳处理过的程序在真正被CPU执行前是会自动解压缩（解密）的。（2）加密壳加密壳的主要目的是保护原程序不被破解，一般情况下，经过加密壳处理的应用程序体积会增加，但也有部分加密壳结合了压缩壳的特性，会在加密完成后再进行压缩。而且一般情况下，加密壳会对原程序进行一定的修改，例如代码乱序、代码混淆等，因此经过加密壳处理的程序即便是提交给CPU去执行，原程序的代码也还是发生了改变。（3）虚拟机保护壳虚拟机保护壳是近几年在软件安全领域内流行起来的一种非常强悍的加密保护方案。它的关键技术就在于实现了一个软件版的CPU，被加密的可执行代码已经不再遵守Intel制定的OPCode标准了，而是执行由虚拟机作者本身制定的非公开的、动态的CPU指令编码解码标准，我们通常称之为TextCode。虚拟机保护壳会将被保护程序的可执行代码重新编码为自己的软件CPU可以识别的格式，并进行存储、加载及模拟执行。因此在任何时候，原程序代码对外界来说都将是一个彻底的黑盒，任何人都很难破解。

现在的壳已经变成一种混合壳，兼具以上几种功能。

加壳工具的工作原理解析二进制先将文件拆开成一个个block，这些 Block 有可能是一个函数，也有可能是一个函数的一部分，里面有地址和代码指令。可以针对每一个 Block 选择加密方式了，如混淆、加密、虚拟化，不同的加密方式强度不同，对性能的影响也不同，重要的 Block 可以选安全强度最高的，不重要 Block 的选性能最好的或不保护。安装壳代码在程序外部套上壳代码，加上加密和虚拟化手段以及授权方式，程序启动从壳开始。编译保护将block进行保护，实施假分支、立即数加密、指令混淆、虚拟化、代码加密等技术，使得Block 会被掰开、揉碎、打散，变成多个 Block，而且还分散在各处，不易被反编译。链接和保存对之前大三的block进行链接，重定位，使程序加壳后能够正常执行

几款加壳工具(评价收集于网上，仅参考)

Virbox Protector（商用）分带授权的版本和独立壳。带授权的版本加壳后需要绑定许可，许可控制软件能否用，加壳保护安全。独立版的话就只是对代码做加壳，防止代码反编译。碎片代码执行、外壳加密、混淆、数据加密。服务商提供了较为完善的文档以及加密方式，提供了较为充分的产品管理平台，以及云端网络加密，并且对于开发者免费使用。使用评价：简单下载使用了一下，提供的功能很多，并且管理平台较好。比较推荐这一个软件。

https://shell.virbox.com/

DRMsoft EncryptEXE加密模式：非绑定模式 ---- 加密后的文件不绑定用户电脑，但用户需要一个开启密码才可以打开绑定模式 ---- 一机一码授权，加密后的文件不同用户电脑需要不同的开启密码无密码模式 ---- 加密后的文件无需要开启密码即可运行，仅对原始文件做加密保护一码通模式 ---- 采用相同秘钥和产品编号加密的不同文件，在同台电脑上只需认证一次特点：可以设置加密后文件的运行次数和有效期；可以设置加密文件运行过程中锁定用户键盘；可以设置加密文件运行中禁用鼠标右键；可以设置用户提示语，在用户打开之前显示给用户；可以禁止拷贝、编辑、打印；可以禁止虚拟机运行；可以设置加密后的文件只能从命令行打开运行，以便只有你自己的程序可以调用他；可以禁用打印机；

可以检测用户电脑是否开启远程桌面服务并终止运行

http://www.drmsoft.net/

EXECryptor有支持代码和资源的压缩；压缩功能主要用来减少带宽占用和加快下载速度。支持多种文件格式，在保护代码中插入不同的处理器指令或代码片段，并使用其它指令替换，这些指令的运算结果都是相同的。是在 CPU 指令层面上混乱代码而不是在应用层上。

网络评价兼容性不是很好，但是加密安全性表现良好。

VProject（有破解版）原创虚拟机保护引擎、随机指令集、随机填充代码、代码乱序执行、外壳保护、反内存转储存、区段合并、资源加密、反调试、防修改。使用拟机乱序引擎，可以阻止绝大多数人逆向分析。使用SDK，进行重点加密。所以基本上不影响程序运行效率自带授权系统，正常用户管理系统，黑名单，加密SDK，授权API等实用功能，分析使用Vprotect保护后的程序，将不仅仅是一项技术活，同时也会成为高强度的体力活。

Axprotect（商用）加密方式：

在运行时自动解密和重新加密软件的技术，为软件提供自动防护。该技术目前支持多种操作平台，诸如Windows，Linux，Mac OS，.NET 及Java应用程序等等。所有的用户收到的是相同的被保护软件版本。可以针对不同用户购买的不同功能模块或者产品类型，个性化生成对应的许可信息。您有权决定客户以何种方式接受许可，或者将许可存放至CmDongle加密狗中发放给客户，或者通过CmAct许可文件进行发放。可以对客户分配相应的许可类型，例如本地单用户许可、网络并发许可、时间限制型许可（适用于软件测试版）。

特点：

Protection 保护工具用于实现高安全强度的保护软件，防止盗版及逆向工程

Licensing 授权工具用于实现便捷、安全的软件授权，包括创建灵活的授权模式、整合软件的业务流程，以及采用企业现行的办公后台系统对软件所有的生命周期进行完整的管理。

Security 安全工具监控软件最终使用者，防止来自第三方的恶意篡改及攻击。

Vmproject（商用软件、长期更新）虚拟机保护机制，安全系数较高，破解难度大

VMProtect允许对可执行文件（EXE、SCR）、动态链接库（DLL，OCX，BPL）和驱动程序（SYS）进行保护。VMProtect允许对32位和64位应用、库和驱动进行保护。MProtec保护的文件可以在几乎任何版本Windows OS上运行，自Windows 95开始。32和64位版本都被支持，VMProtect兼容DEP和UAC。VMProtect允许生成和验证序列号。手动和自动生成都被支持。序列号可以是有限的时间或日期和硬件锁定的，而免费升级期间也可以被限制。VMProtect确保它实际上无法运行没有一个序列号代码。

网络评价：

加密的安全级别很高，破解难度很大，但是加密数据多，可能会影响系统的性能。

主要功能是代码加密、内存打乱