最近在脱epubBuilder这款制作epub电子书的软件，此软件加了Armadillo4.40的全保护壳，十分厉害，我是一个脱壳菜鸟，查找了很多类似的教程，下面简述脱壳过程，请大家参看一下有没有啥问题。

用arma Find Protect查下壳，是4.40的全保护壳
________________________________________
!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Import Table Elimination
Enable Strategic Code Splicing
Enable Memory-Patching Protections
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Best/Slowest Compression
!- <Other Options>
!- Version 4.40 31October2005
!- Elapsed Time 00h 00m 01s 859ms
_______________________________________

之后载入OD，用脚本将双进程转单进程。

接下来就是恢复IAT，用ArmaDetach.v1.31载入一个未脱壳的进程，在GetModuleHandleA中下断点，断几次之后，找到majic jmp并绕过，然后下断CreateThread，断两次后找到call ecx即为OEP，然后在内存中找到正确的IAT，并复制到刚刚转为单进程的内存空间中。

然后用ArmInline修复Code Slicing和Import Elimation，最后用ImportRFC将进程dump出来并fix即可。基本上是按照天草的教程来的。

但是如此操作完之后，脱壳后的进程双击之后并不能正常运行，其现象是程序进程一直保持在后台，既不崩溃也不退出，不知道咋回事？

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)