那得问问作者，有什么区别了

核心扫描   已我的理解的   如果有多层壳    可以查到   里面那个壳  

如果里面没加壳      大多数可以查到 用什么软件编写的

斑竹在这个方面有什么的心得吗？

由于不知道用户查的什么程序的壳，所以只能用静态的，或者是有限功能的虚拟执行。

静态用的是特征码识别。可以是PE特征，如区段名，UPX加的壳，可以看到UPX的区段。

或者相对于文件头，文件尾或者入口点的偏移。

特征码识别技术容易欺骗，例如以下是VC入口点的代码：

00401340 >    55                  push    ebp
00401341      8BEC                mov     ebp, esp
00401343      6A FF               push    -1
00401345      68 78214200         push    00422178
0040134A      68 F0434000         push    _except_handler3
0040134F      64:A1 00000000      mov     eax, dword ptr fs:[0]
00401355      50                  push    eax
00401356      64:8925 00000000    mov     dword ptr fs:[0], esp
0040135D      83C4 F0             add     esp, -10
00401360      53                  push    ebx
00401361      56                  push    esi
00401362      57                  push    edi
00401363      8965 E8             mov     dword ptr [ebp-18], esp
00401366      FF15 4CA14200       call    dword ptr [<&KERNEL32.GetVersion>;  KERNEL32.GetVersion

把call指向壳的真正入口点，就可以欺骗以入口特征作为壳特征的程序。

有限制功能的虚拟执行，例如上面那个例子。可以跟进那个CALL里面再对照壳的特征库。

此外还有用信息“火商”的方法

这些有人在这里写过文章，并不是我的心得，新人应该学会用搜索引擎的

3Q斑竹的指点