aspr脱壳总结

aspr脱壳总结(部分适用于其他壳保护)

首先，能用caspr脱的尽量用它吧，方便，比手动脱的要小，caspr解决不了的那就自己来吧。
脱aspr壳基本上分4步，如下：

1.寻找入口:

(1)delphi:
快速寻找入口的方法:执行程序，用prodump选dump(full)脱壳,存为dump.exe。接着用winhex打开dump.exe，选择搜索文本，填runtime,执行搜索，搜到后,向前找到离runtime最近的机器码为55 8B EC的地方就是程序的oep，所以delphi程序的oep最好找了。所以用aspr保护delphi程序的话会使aspr的保护能力减弱一半，入口太好找了。不过delphi程序的crc保护强悍，胜过aspr保护包括winhex9.x，wincmd4.54，tag&rename1.9x，iptools1.xx,host-mon1.3x，其中后两个我还没有搞定，谁知道的话麻烦告诉我一声。

脱壳详情请参考我最近写的

注册Tag&Rename v.1.9.6
注册Tag&Rename v2.0 beta 1
注册Advanced Ra-Renamer v.1.2
脱ASProtect1.2的壳
脱ASPack 2.11的壳

(2)vb：
快速寻找入口的方法:执行程序，用prodump选dump(full)脱壳,存为dump.exe。接着用winhex打开dump.exe，选择搜索文本，填程序的名字,执行搜索，搜到后,向前找到离名字最近的机器码为68(后面就不一定了，一般很短，不超过20h字节)开头的地方就是程序的oep，所以vb程序的oep也比较好找。只是用asp express压了一下看看，没做更多测试，不好多说啦。


(3)vc:
无任何规律，慢慢跟吧:(。手动脱壳方法最好熟练掌握，对付任何程序都应该有效吧:)，熟悉以后就没问题了。

脱壳详情请参考我刚写的写的

脱壳IglooFTP PRO v3.0的详细过程

(4)其他:
没试过，不知道了。

2.脱壳：

最好要从入口处dump，如果不是从入口dump的，一般不能用。再有用prodump dump的程序，需要手动把op改成正确的。用天意,trw或peditor dump的程序稍大。其中天意在我的winme系统下用suspend死机，所以极少用，peditor dump出的程序超大，trw选在入口dump的可以免去手动改ep的麻烦，好像跟prodump脱出来的没区别，就是大了一点。喜欢用哪个看着办吧，caspr脱出来的最小，还有一个叫rad_v06的软件，没试过不太清楚了。再有其他的我就不知道了。

3.重建import table：

慢工，运气好的话ImportREC自己就能搞定，一般都有一部分需要自己找。需要的专业知识太多了，这方面是我的弱项呀。

4.脱壳后正常运行：

具体情况具体分析，多数情况下不能正常运行，一般是地址错误引起的，需要和未脱壳的版比较，再修改。

这里回复一下大师们前面的回贴。hying大哥的回贴，我在这次的"1.寻找入口:"已作了解释。blowfish大虾的回贴，说实话看不明白，是由于我的相关知识太贫乏了吧，慢慢学不着急啦。
最后再谈一下aspack的壳，这个用ti找到入口，在入口处dump，重建import table一般就可正常运行了。

脱壳详情请参考我最近更新的的

注册你的Windows Commander 4.54

最后还要感谢hying大哥帮我脱Tag&Rename v.1.9.6的壳才使我下决心突击学习aspr脱壳!
感谢脱壳前辈们提供所有相关资料!
感谢各位toye论坛上的cracker们无私提供crack资料!
感谢toye院长将crack资料一一整理，提供如此方便的快捷的crack交流论坛及为crack事业做出贡献!

全文完
至此学习aspr脱壳告一段落，该休息一下了(休息是指换换别的东西学，要学的东西太多啦，真的受不了了呀~~~~~~~~~~~~~~~~`)