我这有个程序我先贞壳一看是:
ASPack 1.07b -> Alexey Solodovnikov [Overlay]

00410F82 > $  90            nop
00410F83   .  90            nop
00410F84   .  90            nop
00410F85   .  75 00         jnz short gszt.00410F87
00410F87   >- E9 74202000   jmp gszt.00613000
00410F8C      00            db 00

无条件跳到 00613000

00613000    60              pushad
00613001    E8 00000000     call gszt.00613006
00613006    5D              pop ebp
00613007    81ED 3ED94300   sub ebp,gszt.0043D93E
0061300D    B8 38D94300     mov eax,gszt.0043D938
00613012    03C5            add eax,ebp
00613014    2B85 0BDE4300   sub eax,dword ptr ss:[ebp+43DE0B]
0061301A    8985 17DE4300   mov dword ptr ss:[ebp+43DE17],eax
00613020    80BD 01DE4300 0>cmp byte ptr ss:[ebp+43DE01],0
00613027    75 15           jnz short gszt.0061303E

好象是文件头,开始对他脱壳
脱壳后一贞壳:
ASPack 1.02a -> Alexey Solodovnikov

啊,两成壳,好,我在脱,但这时我试了一下打开程序.能打开,但一会就"没有响应"

00613000    60              pushad
00613001    E8 00000000     call gszt.00613006
00613006    5D              pop ebp
00613007    81ED 3ED94300   sub ebp,gszt.0043D93E
0061300D    B8 38D94300     mov eax,gszt.0043D938
00613012    03C5            add eax,ebp
00613014    2B85 0BDE4300   sub eax,dword ptr ss:[ebp+43DE0B]
0061301A    8985 17DE4300   mov dword ptr ss:[ebp+43DE17],eax
00613020    80BD 01DE4300 0>cmp byte ptr ss:[ebp+43DE01],0

这时,F7走到00613001的时候发现奇存器 ESP 是 0012FFA4
好有点象是ASPACK的出口点了. 我用 DD 0012FFA4 到了数据窗口,
我试了一下在这下一个硬件断点.WORD 运行程序来到:
   0061304F

0061304F  - FFE0            jmp eax ;            //gszt.004247EE
00613051    80BD 29E04300 0>cmp byte ptr ss:[ebp+43E029],0
00613058    74 1D           je short gszt.00613077
0061305A    8DB5 2AE04300   lea esi,dword ptr ss:[ebp+43E02A]
00613060    8B36            mov esi,dword ptr ds:[esi]
00613062    56              push esi
00613063    AD              lods dword ptr ds:[esi]
00613064    8DBD 2EE04300   lea edi,dword ptr ss:[ebp+43E02E]
0061306A    8B17            mov edx,dword ptr ds:[edi]

我在F7 来到 004247EE

004247EE    55              push ebp
004247EF    8BEC            mov ebp,esp
004247F1    6A FF           push -1
004247F3    68 107F4300     push 22.00437F10
004247F8    68 A4834200     push 22.004283A4
004247FD    64:A1 00000000  mov eax,dword ptr fs:[0]
00424803    50              push eax
00424804    64:8925 0000000>mov dword ptr fs:[0],esp
0042480B    83EC 58         sub esp,58
0042480E    53              push ebx
0042480F    56              push esi

好象又是文件头了,我脱壳.脱了壳在贞壳,是VC6.0啊,好象是脱壳成功了.
我就打开吧,一打开说是"这个程序不是WIN 32有效的应用程序"我想一定是PE文件头坏了.用LOADPD修文件头,说是修成功了,哇,好开心,啊,能打开,可是在一看没反应了,死在那了,没几秒说在程序最上面说是"没有响应"晕,不知是怎么一回事啊,是不是头一次脱的壳就是不对啊,

还请高手指点小弟一下啊,感激不进.
每晚在线,有空大家共同学习啊,QQ:343610908

有高手来QQ聊的话,我送QQ礼物.呵呵,礼物不是重要的,友情才是最好的,谢谢大家!!!!!

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法