有一个软件，用peid检测到外层壳为ASProtect 2.1x SKE -> Alexey Solodovnikov，执行Aspr2.XX_IATfixer_v1.02脚本， 提示“Import table is fixed，you can dump the file now or later……”。
点“确定”，接着resume后，提示“stolen code start，press ok button to add comments”，按确定后停在
010E0320    55              PUSH EBP                                 ; 00050F838
010E0321    C1CD 6B         ROR EBP,6B                               ; 在 1..31 内替换常量
010E0324    C1C5 47         ROL EBP,47                               ; 在 1..31 内替换常量
010E0327    C1D5 BF         RCL EBP,0BF                              ; 在 1..31 内替换常量
010E032A    BD B6904700     MOV EBP,4790B6
010E032F    8D6C24 14       LEA EBP,DWORD PTR SS:[ESP+14]
010E0333    8D6C25 EC       LEA EBP,DWORD PTR SS:[EBP-14]
010E0337    83C4 F0         ADD ESP,-10
010E033A    53              PUSH EBX
010E033B    B8 6AA84300     MOV EAX,43A86A
查看Log文件,IATstartaddr=00516190,IATsize=7F0
然后用"脱壳在当前调试的进程"得到dump.exe文件 ,打开ImportREC,填入OEP=00050F838-400000=10F838,RVA=00516190-400000=116190,size=7F0,修复dump.exe,(此时用peid检测修复过的dump文件,显示是ACProtect 1.41 -> AntiCrack Software *, 但是这个dump.exe运行就会出现错误) .
再去0llydbg,回到代码窗口,按F9，出现提示窗口“模块‘RR430338’入口点超出此代码（在pe文件头中指定）。可能此文件为自解压或自修改文件，请在设置断点时记住这一点”，点“确定”按钮确认后，软件的运行主界面就出来了。　

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！