一点脱壳经验

核心提示： 在遇到asprotect之前，procdump一直是我最爱的脱壳工具，一点脱壳经验(4)，它能脱的壳很多，操作方便，无奈只能用内存补丁ppatcher3.93，这里有thewd提供的破解方法，稳定性好，很少令我失望

在遇到asprotect之前，procdump一直是我最爱的脱壳工具，它能脱的壳很多，操作方便，稳定性好，很少令我失望。直到那一次，一连碰到三个asprotect加壳的软件：

Aspack2.11,加壳软件，asprotect 1.1b 加壳，未注册版有时间限制和功能限制；以前的下载地址找不到了，今天找到一个带破解文件的，URL： http://mud.sz.jsinfo.net/per/aaron/files/compressors/win/aspack211.zip。

Picturetoexe2.30,图片转可执行文件工具，asprotect 1.0 加壳，未注册版制作出得文件有公司标志；http://www.wnsoft.com/apr

Advanced ZIP Password Recovery3.51（azpr），zip密码恢复工具，asprotect 1.1 加壳；未注册版只能破解5位以下密码。ftp://www.newhua.com/azpr.zip

有兴趣的不妨试一试，练练手。

那段时间好痛苦啊。找不到真正的入口点(OEP)，中断不了，壳脱不下来，脱下来的又不能运行，真是往事不堪回首。到现在也还谈不上破解，只是想把自己的一点经验写出来，希望弟兄们看了能少走点弯路。

提示：

Aspack用上述方法脱壳修复后，运行时显示

Exception EaccessViolation in module ASPACK_.EXE at 007fb318.
Access violation at address bfc54c.Read of addreds bfc54c. 不能运行。失败。但是可以用rad06(http://mud.sz.jsinfo.net/per/aaron/files/unpackers/win/rad_v06.zip)成功脱壳，脱壳后自动去掉时间限制，但仍为未注册版。

Picturetoexe2.30用上述方法脱壳失败，impREC修复的程序运行时提示非法操作。用caspr v0.952脱壳成功。

Azpr用上述办法修复成功，文件可以运行，但对其进行修改后，提示找不到api函数，不能运行。无奈只能用内存补丁ppatcher3.93。这里有thewd提供的破解方法。

首先在注册表中添加如下内容

[HKEY_LOCAL_MACHINE\Software\Elcom\Advanced ZIP Password Recovery\Registration]

"Code"="00023112193920061941tcKxzxKUhzLjuAAD"

以下是ppatcher配置文件（.ppc）的内容。

-------------------------------------------------------------------

#Process Patcher Configuration File
Version=3.93
WaitForWindowName=AZPR*
PatchAuthor=thewd
PatchContactInformation=thewd@hotmail.com
DisplayName=Advanced ZIP Password Recovery v3.51
Filename=azpr.exe
Filesize=294912
Address=0x416CE7:0x89:0x8B // (1)
Address=0x416CE8:0xC8:0xC2
#End of Configuration File
#Cracking Notes
(1) Registration Code Example: 00023112193920061941tcKxzxKUhzLjuAAD
First 4 characters are ignored.
Next 16 characters are constant (MD5 Hash)
Last 16 characters are hashed (MD5) and compared against
the resource 'DB' for a match.
i.e.
mov eax, ecx (Bad Code) ==＞ mov eax, edx (Correct Code)