目标文件： Stud_PE 2.2.0.5
加壳方式： 不知
所用工具： ODbyDyk, LoadPE, ImportREC
作者：icers(小小虾)，学习篇(高手请不要笑话)
1．        想学习一下手动脱壳，刚好手上有Stud_PE 2.2.0.5，看看不知是什么壳，就想搞一搞。
2．        认真看了一回Kanxue坛主的脱壳基础知识入门（2006年版）开始上路
3．        OD载入Stud_pe后停在004FD807。如图1(图片传不上来)

                    图1
4．        第一步是寻找OEP，(Kanxue老大教程的“根据堆栈平衡原理找OEP”)下HW 12FFC0后F9一次不是，再F9来到00447BD1，(图2)(这么快)应该00447BCC就是OEP，记下了。

                 图2
5．        抓取内存映像文件，运行LoadPE，找到Stud_PE.exe后弹出快捷方式(图3)，选择dump full…保存为dm1.exe。

                      图3
6．        重建输入表, 运行ImportREC, 选择stud_pe.exe进程，在左下角的OEP里填上前面找到的00047BCC，点击“IAT AutoSearch”按钮自动检测IAT偏移和大小，成功找到IAT的地址与大小。图4

              图4
7．        点击“Get Import”按钮，分析IAT结构得到基本信息，全部volid: yes。单击"Fix Dump"选择前面dump出来的文件dm1.exe,确定后生成一个dm1_exe文件，它的OEP已被修正。运行正常，用peid扫描，显示Microsoft Visual C++ 6.0。
8．        这是照着看雪老大的教程做的，所以没有任何技术含量。很多原理还是是很明白，要慢慢学习了，各位权当路过。“HW 12FFC0硬件断点真是好用”。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！