aspr脱壳总结

aspr脱壳总结(部分适用于其他壳保护)

首先，能用caspr脱的尽量用它吧，方便，比手动脱的要小，caspr解决不了的那就自己来吧。

脱aspr壳基本上分4步，如下：

1.寻找入口:

(1)delphi:

快速寻找入口的方法:执行程序，用prodump选dump(full)脱壳,存为dump.exe。接着用winhex打开dump.exe，选择搜索文本，填runtime,执行搜索，搜到后,向前找到离runtime最近的机器码为55 8B EC的地方就是程序的oep，所以delphi程序的oep最好找了。所以用aspr保护delphi程序的话会使aspr的保护能力减弱一半，入口太好找了。不过delphi程序的crc保护强悍，胜过aspr保护包括winhex9.x，wincmd4.54，tag&rename1.9x，iptools1.xx,host-mon1.3x，其中后两个我还没有搞定，谁知道的话麻烦告诉我一声。

脱壳详情请参考我最近写的

注册Tag&Rename v.1.9.6

注册Tag&Rename v2.0 beta 1

注册Advanced Ra-Renamer v.1.2

脱ASProtect1.2的壳

脱ASPack 2.11的壳

(2)vb：

快速寻找入口的方法:执行程序，用prodump选dump(full)脱壳,存为dump.exe。接着用winhex打开dump.exe，选择搜索文本，填程序的名字,执行搜索，搜到后,向前找到离名字最近的机器码为68(后面就不一定了，一般很短，不超过20h字节)开头的地方就是程序的oep，所以vb程序的oep也比较好找。只是用asp express压了一下看看，没做更多测试，不好多说啦。

(3)vc:

无任何规律，慢慢跟吧:(。手动脱壳方法最好熟练掌握，对付任何程序都应该有效吧:)，熟悉以后就没问题了。

脱壳详情请参考我刚写的写的

脱壳IglooFTP PRO v3.0的详细过程

(4)其他:

没试过，不知道了。

2.脱壳：

最好要从入口处dump，如果不是从入口dump的，一般不能用。再有用prodump dump的程序，需要手动把op改成正确的。用天意,trw或peditor dump的程序稍大。其中天意在我的winme系统下用suspend死机，所以极少用，peditor dump出的程序超大，trw选在入口dump的可以免去手动改ep的麻烦，好像跟prodump脱出来的没区别，就是大了一点。喜欢用哪个看着办吧，caspr脱出来的最小，还有一个叫rad_v06的软件，没试过不太清楚了。再有其他的我就不知道了。

3.重建import table：

慢工，运气好的话ImportREC自己就能搞定，一般都有一部分需要自己找。需要的专业知识太多了，这方面是我的弱项呀。

4.脱壳后正常运行：

具体情况具体分析，多数情况下不能正常运行，一般是地址错误引起的，需要和未脱壳的版比较，再修改。

这里回复一下大师们前面的回贴。hying大哥的回贴，我在这次的"1.寻找入口:"已作了解释。blowfish大虾的回贴，说实话看不明白，是由于我的相关知识太贫乏了吧，慢慢学不着急啦。

最后再谈一下aspack的壳，这个用ti找到入口，在入口处dump，重建import table一般就可正常运行了。