有用户使用限制的软件，为防止BaoLi和谐，会对软件增加一层保护层，即壳，VMP对软件保护可以达到对指令虚拟化，即通过VMP自己的指令实现机器指令，但是带来的问题是指令膨胀，效率降低，TDX通过对软件加壳的方式，一方面能增加反调试，防和谐，防篡改，实行软件的保护，同时不影响软件主体的执行效率。

 

TDX的EXE和DLL，都是通过VMP进行保护，但是EXE的加载和DLL有所不同，对于软件的不同形态的脱壳，我分别通过两种方式进行了实践，VMP加的壳，主要处理时反静态分析，反跟踪，对程序的IMPORT表做了处理，修改了程序入口点地址，我第一种方式是把DLL加载到内存，构造DLL的运行环境，修改导入表空间为不可访问，.rdata空间只读，.text禁止执行，然后分析执行DLL执行程序，跟踪导入表的读取，.rdata的写入，目的是跟踪加壳后的导入表以修复加壳前的导入表。 限制.text的执行，一旦程序执行转入该段，即为加壳前程序的原始入口，此时，生成新的程序。即可以完成去壳的目的。EXE的处理也可以通过这种方式，但是存在问题是EXE执行时加载在固定位置，在加载EXE的时候存在空间被占用的问题。笔者尝试了另外一种方式，通过创建进程，然后进入程序前加载笔者的DLL，再执行壳。在执行中完成数据的构造，最后实现脱壳，主要思想与DLL方式类同，后一种方式加载EXE，由于软件DEP数据保护，数据可读，可写，就可以执行，所以这种方式.text段也禁止访问，但是壳需要校验.text数据，对于这种禁止访问的数据，如果程序在访问时，异常处理时候短暂的允许访问，访问过后立即禁止访问。

UPX脱壳处理过程也是一样的。