一点脱壳经验

核心提示： SuperBPM，辅助设断工具，一点脱壳经验(2)，确保trw能够中断成功；peditor，修正脱壳后的文件；ImportREC1.2beta2，所以如果遇到检测不出的类型，就有可能是asprotect，用来修复脱壳后文件的import表；此外还有专用自动脱壳工具，如rad

SuperBPM，辅助设断工具，确保trw能够中断成功；

peditor，修正脱壳后的文件；

ImportREC1.2beta2，用来修复脱壳后文件的import表；

此外还有专用自动脱壳工具，如rad，caspr等。

实在不行，脱不下来或脱下来不能用，只有用内存补丁了。我推荐ppatcher3.93，比常见的3.60版增加了许多有用的新特性，如aitForWindowName，下面会讲到。URL未知，我是从作者那里直接获得的。

我的运行环境是win98第二版，没有安装softice。

概括一下一般的脱壳步骤：

第一步，用fi243确定壳的类型，有自动脱壳工具的，用工具脱。否则第二步。

第二步，用bw2k确定程序的真正入口点OEP，不妨记为xxxx；若找不到，请试一试Softice + icedump： 使用Icedump 的/tracex 命令可能找到OEP 的地址；若还找不到，只能手动跟踪，看你的功力和运气了。

第三步，用trw装入（load）程序，下bpx xxxx，g。中断后用pedump命令脱壳，格式是

pedump c:\test\test.exe。不能中断时运行superbpm，选中erase，重复第三步操作。若脱出来的test.exe可以运行，则脱壳完毕，否则第四步。

第四步， 用peditor 修正test.exe，用Import REConstructor v1.2 beta2修复输入表，参照以下这篇文章

若还是不行，建议你用内存补丁或放弃暴破，去算注册号吧。

以下以S-Spline 2.04为例，讲一讲手动脱壳和修复import表的具体操作步骤。S-Spline 2.04

第一步，用fi243确定壳的类型。fi243没有GUI界面，是命令行程序，用法是这样：

c:\fi243\fi s-spline.exe。

Fi已经检测不出新版asprotect了，所以如果遇到检测不出的类型，就有可能是asprotect。接着往下做吧。