Armadillo标准加壳的程序的脱壳和引入表修复方案

核心提示： 现在重新载入程序,到出现这个信息的前一次中断停下来,然后按几次CTRL+F9到程序中(也就是地址较低的地方,一般都是004*,005*,本程序在这:004DA06083C4 04ADDESP, 4004DA0638945 FCMOVDWORD PTR SS:[EBP-4], EAX004D

现在重新载入程序,到出现这个信息的前一次中断停下来,然后按几次CTRL+F9到程序中(也就是地址较低的地方,一般都是004*****,005*****,本程序在这:　

004DA060　　83C4 04　　　　ADD　　ESP, 4　
004DA063　　8945 FC　　　　MOV　　DWORD PTR SS:[EBP-4], EAX　
004DA066　　837D B8 00　　　CMP　　DWORD PTR SS:[EBP-48], 0　
004DA06A　　74 0A　　　　　JE　　　SHORT SoundEdi.004DA076　
004DA06C　　8B45 B8　　　　MOV　　EAX, DWORD PTR SS:[EBP-48]　
004DA06F　　50　　　　　　　PUSH　　EAX　
004DA070　　FF15 E8615000　CALL　　DWORD PTR DS:[<&USER32.DestroyWi>; USER32.DestroyWindow　
004DA076　　8B45 FC　　　　MOV　　EAX, DWORD PTR SS:[EBP-4]　
004DA079　　8BE5　　　　　　MOV　　ESP, EBP　
004DA07B　　5D　　　　　　　POP　　EBP　
004DA07C　　C3　　　　　　　RETN

这时小心地用F8,因为有一堆的JMP,JNZ,JO等,不过也用不了多久的,大概20多次就可来到这:　

004DB483　　61　　　　　　　POPAD　
004DB484　　6A 00　　　　　PUSH　　0　
004DB486　　E8 6E000000　　CALL　　SoundEdi.004DB4F9　
004DB48B　　83C4 04　　　　ADD　　ESP, 4　
004DB48E　　6A 00　　　　　PUSH　　0　
004DB490　　E8 46830000　　CALL　　SoundEdi.004E37DB　
004DB495　　83C4 04　　　　ADD　　ESP, 4　
004DB498　　837D E4 01　　　CMP　　DWORD PTR SS:[EBP-1C], 1　
004DB49C　　75 11　　　　　JNZ　　SHORT SoundEdi.004DB4AF　
004DB49E　　68 E8965000　　PUSH　　SoundEdi.005096E8　
004DB4A3　　FF15 0C975000　CALL　　DWORD PTR DS:[50970C]　　,这个CALL用F7跟进　
004DB4A9　　83C4 04　　　　ADD　　ESP, 4　
004DB4AC　　8945 E4　　　　MOV　　DWORD PTR SS:[EBP-1C], EAX　
004DB4AF　　68 0C9E4D00　　PUSH　　SoundEdi.004D9E0C

在4db4a3这个CALL用f7跟进,然后继续F8,几次后就来到这: