上圖是軟件的界面，這個時候的軟件大小是846 KB (866,816 字節(jié))是不是感覺很小呢？我們用peid進(jìn)行查看殼。

可以清晰的看到是aspack的殼吧。而且還有版本，我們使用OD打開它。對于是否繼續(xù)分析，我們點(diǎn)否就可以。然后我們就可以看到下面類似的代碼。

我們可以看到入口是停止了pushad，也就是寄存器壓統(tǒng)一入棧操作。那么我們就可以輕松的使用所謂的ESP定律來搞定了。按一下F7，到下一行，看寄存器窗口。里面的ESP的值 。

看到ESP寄存器是紅色的了。我們copy對應(yīng)的0012FFA4，到我們的命令行窗口下硬件斷點(diǎn)。

硬件斷點(diǎn)就是hr ，然后加上我們剛剛copy的地址，然后回車，這個時候我們可以再菜單的。調(diào)試》硬件斷點(diǎn) 中看到我們設(shè)置的硬件斷點(diǎn)了。

設(shè)置好斷點(diǎn)后，我們直接按F9運(yùn)行程序，它會在斷點(diǎn)處停下來。大致的位置看截圖

好，我們可以高興的看到，發(fā)生了jnz，就是不等于0就跳轉(zhuǎn)，而且是紅色的方向向下跳轉(zhuǎn)。紅色代表跳轉(zhuǎn)已經(jīng)實(shí)現(xiàn)，方向是向下，就是到了地址為006AF3BA的地方，然后這個地 方push壓入一個地址，通過retn方式返回。我們這個時候刪除硬件斷點(diǎn)。方法是調(diào)試》硬件斷點(diǎn) 選擇刪除我們剛剛hr命令添加的硬件斷點(diǎn)。然后我們按F7單步就到了push 這個壓棧的地方。然后我們在 按兩次F7單步執(zhí)行。就到了

看到這個地方，如果你調(diào)試比較多的話，一定明白這個就是入口了。首先你看地址，跳轉(zhuǎn)跨度很大。說明殼的代碼前面執(zhí)行完成，現(xiàn)在跳轉(zhuǎn)來執(zhí)行真正的代碼了。而且這個代碼 是典型的vc的編譯出現(xiàn)的匯編代碼。在地址00422240的地方，我們選擇右鍵，選擇用ollydump脫殼調(diào)試進(jìn)程。彈出如下的界面

方式隨便選擇。我默認(rèn)，我們直接點(diǎn)擊脫殼按鈕，然后取一個脫殼完成的exe名稱就可以了。然后我們來查看是否脫殼成功，使用我們的peid進(jìn)行查殼。具體效果如下圖所示

我們可以看到真正的語言了。和編譯器的版本。然后我們再運(yùn)行我們脫殼后的程序，如果正在運(yùn)行就說明一切OK了。

當(dāng)然如果無法運(yùn)行我們就需要使用修復(fù)工具對脫殼后的程序就行修復(fù)操作，常用的修復(fù)工具是Import Fix 1.6。大家自己可以再網(wǎng)絡(luò)上下載到。修復(fù)我就不說啦，因?yàn)檫@個脫殼后正常運(yùn)行了。就沒有必要修復(fù)了。我們再看一下程序的大小3.17 MB (3,331,584 字節(jié))看到了吧，這個殼的壓縮能力驚人 呀呵呵。所以總的來說這個殼可以定性為壓縮殼而非加密殼。因?yàn)槌绦虼笮∽冃∈撬饕康陌伞?/p>

好了，廢話一大堆，就筆記到這里吧。這個可以說是所有脫殼課程里面的最基礎(chǔ)的東西，類似我們寫c語言時候的hello world。但是麻雀雖小五臟俱全嘛。只要努力你一定可以 成為大牛。路漫漫其修遠(yuǎn)兮，吾將上下而求索。