用ollydbg跟踪asproctect1.2加壳的软件

核心提示：打开ollydbg,将options菜单下的debugging options中的Exceptions的int3 break和single break 勾选上，好了，用ollydbg跟踪asproctect1.2加壳的软件，开始吧，这次以XXXXXX为目标，何必那样强..呢？精通一样，就已经很强了trw2000好是好，

打开ollydbg,将options菜单下的debugging options中的Exceptions的int3 break和single break 勾选上，好了，开始吧。

这次以XXXXXX为目标，加载XXXXX ,按F9 嘭.....

中断在第一个异常处：

003D009D 3100 XOR DWORD PTR DS:[EAX],EAX <---
003D009F EB 01 JMP SHORT 003D00A2
003D00A1 68 648F0500 PUSH 58F64
003D00A6 0000 ADD BYTE PTR DS:[EAX],AL

这次要按shift+F9忽略异常，继续执行 又断下，前后要按大约19次（呵呵，没仔细数），来到：

00901CA4 FE06 INC BYTE PTR DS:[ESI] <---
00901CA6 EB E8 JMP SHORT 00901C90
00901CA8 83E0 72 AND EAX,72
00901CAB 33D2 XOR EDX,EDX
00901CAD 64:8F02 POP DWORD PTR FS:[EDX]

看一下右下角的esp数据窗，在代码窗点右键，go to -->Expression ,把esp+4的内容填入，F2设个断点，按shift+F9

安全落地。呵呵，接下来一路F7(别按太快，你看仔细）

00901C77 5B POP EBX
00901C78 58 POP EAX
00901C79 05 F7AA26E5 ADD EAX,E526AAF7
00901C7E 5C POP ESP
00901C7F 0BC9 OR ECX,ECX
00901C81 74 E3 JE SHORT 00901C66
00901C83 8901 MOV DWORD PTR DS:[ECX],EAX
00901C85 03C3 ADD EAX,EBX
00901C87 894424 1C MOV DWORD PTR SS:[ESP+1C],EAX
00901C8B 61 POPAD
00901C8C FFE0 JMP EAX <---到这里下车

不会吧，你不会用procdump,(喂，我要看只用ollydbg脱壳）

s-ice还要调用Bhrama服务，何必那样强..呢？精通一样，就已经很强了

trw2000好是好，可我用的是XP。