時下的軟件加殼風盛行，而且一個比一個來的兇，如果不及時掌握脫殼的技巧，那么無論對于Cracker還是漢化人來講都將很不利。小弟并不是什么高手，我也是剛剛學會脫殼，小弟在這將脫殼中總結出的一些經(jīng)驗寫出來，希望能給和小弟一樣剛學脫殼的朋友一定的幫助。請各位高手不要看了，那樣只會浪費您寶貴的時間，如果小弟下面的內容有錯漏的地方，請給小弟指正。

現(xiàn)在我們開始練習脫殼了，首先準備好 Trw2k 及 Prodump1.62 ，然后隨便找一個EXE文件用Aspack2001壓縮一次，我是用 speedcat2.1（以下簡稱sc） 。

啟動Trw2k，將sc拖到TRW2K中，點擊LOAD，如下：

XXX:00431001 60 PUSHAD *注意這個入棧*
XXX:00431002 E872050000 CALL 00431579
XXX:00431007 EB4C JMP 00431055 *跳到解壓程序*

在這之后程序會在幾個地方作循環(huán)，下 G 指令跳出這些循環(huán)以節(jié)省時間，然后小心按F10一直來到：

XXX:004314F3 61 POPAD *注意這個出棧*
XXX:004314F4 7508 JNZ 004314FE *程序入口*
XXX:004314F6 B801000000 MOV EAX,00000001
XXX:004314FB C20C00 RET 000C
XXX:004314FE 6864194000 PUSH 00401964
XXX:00431503 C3 RET

我們已經(jīng)找到程序的入口，可以開始編輯 Prodump1.62 中的Script.ini文件脫殼了。但我還要加一點說明，留意 XXX:00431001 PUSHAD 和 XXX:004314F3 POPAD 這一對指令，匯編知識告訴我們它們缺一不可，我發(fā)現(xiàn)不管是Aspack還是Upx加殼的軟件一開始都會停在 PUSHAD ，然后在 POPAD 指令后緊跟一個跳躍的指令，這個跳躍指令就是程序的入口。

我們現(xiàn)在開始編輯Script.ini文件。打開Script.ini文件，在[INDEX]最下面加上一行P??=Aspack2001（??是在[INDEX]中的行號），然后在Script.ini文件最后完整地加上：

[Aspack2001]
L1=OBJR
L2=LOOK EB,4C *跳到解壓程序的代碼*
L3=JZ 5
L4=QUIT
L5=BP
L6=WALK
L7=OBJR
L8=LOOK 61,75 *程序入口的代碼*
L9=BP
LA=STEP
OPTL1=00000000
OPTL2=01010001
OPTL3=01010001
OPTL4=00030000 *這一行很重要，如果解壓后的程序運行有問題，改成00010000
OPTL5=00000000 或00020000試試*

現(xiàn)在還等什么？用Prodump32脫殼呀！

責任編輯: 雪花(TEL:（010）68476636-8008)