压缩与脱壳-脱壳高级篇 下

核心提示： 3、修正PE文件头用 Procdump打开刚建好的 aspack.dumped.exe文件，点击pe-editor按钮，压缩与脱壳-脱壳高级篇 下(5)，然后再点击SECTIONS按钮，在每个section点击右键，模式2是以HTML文件存盘，其它的请参考其readme.模式选好后，选中E

3、修正PE文件头

用 Procdump打开刚建好的 aspack.dumped.exe文件，点击pe-editor按钮，然后再点击SECTIONS按钮，在每个section点击右键，选中Edit section，把所有的 section 的PSize = VSize offset = RVA 。

如：CODE 的PSize＝0001E000； VSize＝00042000；offset =00000400；RVA＝00001000；

改成：PSize = VSize＝ 00042000；offset = RVA ＝00001000；

在改完所有的sections后，按OK,存盘后，你在资源管理器中刷新一下，就会发现aspack.dumped.exe的图标回来了，但还不能运行，你还要修正入口点和import表。

将入口点（Entry Point）改为：00042B98（记着：00442B98-imagebase=42B98）

再点击Directory按钮，将Import Table改为 RVA （46000 ）；而其选项Size只要比0大就可；

然后点击OK,退出Procdump，再运行 aspack.dumped.exe ，程序运行的很甜美！

这时你用W32DASM不能反汇编，你可用 Procdump编辑第一个section characteristics：

将其 c0000060 (data, writable)改为： 60000040 (code, executable)或 e0000060 (code, data, etc etc)

注：大家抓取屏幕可在Icedump 6.016中，用:/Screendump抓取。

不加参数命令:/Screendump 选取模式，重复执行，会在0、1、2、3、4五种模式下转换。

模式1（默认）是以文本方式存盘，模式2是以HTML文件存盘。其它的请参考其readme.

模式选好后，就可用命令： /SCREENDUMP [路径]文件名 抓取整个SOFTICE的屏幕。

3、ASProtect v0.9x保护

Advanced Zip Password Recovery 3.0的脱壳

教程写作: 冰毒

作者信箱: break_ice@hotmail.com

写作日期: 2000年3月25日