我正在学习软件脱壳，于是从网上随便找了一程序用来学习.一开始时用PEID侦查到是ASProtect 2.1x SKE -> Alexey Solodovnikov，因为,怕侦测有误使用VerA0.15插件,进行重新侦测为:Version: ASProtect 2.2 or 2.3 SKE.
     于是使用网上的流行脱壳方法,先用OD载入,使用脚本:Aspr2.XX_IATfixer_v2.2s.osc跑了一下,发现有STOLEN CODE.
之后使用LordPE DUMP
    按ALT+M打开内存镜像设置断点.将00E80000至01970000全部下断,最后发现使用这24个段.
00E90000        01000000        01050000        0107C000        014A0000        014B0000
014C0000        014D0000        014E0000        014F0000        01500000        01510000
01550000        01560000        01570000        01580000        01590000        015A0000
015B0000        015C0000        01760000        01940000        01960000        01970000
用LordPE全部抓取下来.添到DUMP下的程序的末尾.这时，用PEID侦查是nothing found *，转而用深度扫描是ACProtect 1.41 -> AntiCrack Software *，核心扫描是Borland Delphi DLL.
      但是使用PEID的插件Rebuild PE 进行PE重整时,怪事就来啦.原本6.01M的文件怎么变成只有3个字节的程序啦?难道它是双重壳?还是我在前面有什么地方没做对?
    诚恳高手给以解答.谢谢....如果需要范例程序可以加我QQ:165634436

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课