压缩与脱壳-脱壳高级篇 下

核心提示：1、先装载Icedump在这用Icedump 6.016版本，其命令操作形式完全和以前的版本不同，压缩与脱壳-脱壳高级篇 下，先在Icedump目录里运行相应SOFTICE版本的icedump.exe（我用的SOFTICE是4.05版，因此在win9x/405目录下运行icedump.exe），因此我们可以拦截此函数来

1、先装载Icedump

在这用Icedump 6.016版本，其命令操作形式完全和以前的版本不同。先在Icedump目录里运行相应SOFTICE版本的icedump.exe（我用的SOFTICE是4.05版，因此在win9x/405目录下运行icedump.exe），如Icedump装载成功，Icedump会返回如下信息：

icedump v6.0.1.6 for winice v4.05 loader
icedump unloaded
icedump loaded ←出现这句话表示Icedump装载成功
C：>

2、再装载FrogsICE

由于aspack能检测到SOFTICE的存在，因此装载Frogsice就可躲过。在我机子里：FrogsICE 1.00 Final和Icedump不能很好兼容工作，因此我将FrogsICE换成版本v0.43，hehe..它们配合的很好。双击FPloader.exe文件即可装载成功。

OK,到此你的SOFTICE的功能己大大加强里。

这时试试运行aspack，这时屏幕将蓝屏给你一菜单选项，告知aspack发现了SOFTICE，是否欺骗它，这时你按ESC按钮，程序即可正常运行。

3、 记住我们的第一步是抓取import table，它在内存的446000到449000处，因此程序运行时注意这段内存代码的解压情况。

由于SOFTICE不能LOAD aspack.exe,我们用:bpx loadlibrarya命令来拦断。

loadlibrarya命令解释：如果import表没在内存中就使用LoadLibraryA API调用装入该模块，因此我们可以拦截此函数来观察import表。

:bpx loadlibrarya 然后运行aspack将中断如下：

Break due to BPX KERNEL32!LoadLibraryA
:dd 446000 l 40 (下此命令观察内存446000到449000处的数据）
.
-------SPACK!.idata--------------------dword----------ROT--?(0)--
0030:00446000 ???????? ???????? ???????? ???????? ................
0030:00446010 ???????? ???????? ???????? ???????? ................ 
0030:00446020 ???????? ???????? ???????? ???????? ................ 
0030:00446030 ???????? ???????? ???????? ???????? ................

上图是SOFTICE的数据窗口，显示 ??...说明import表在内存中没解压。