首先讲一下，小菜我是求这个剥壳的方法，不是求剥壳后的文件——这应该也算是个技术帖不违规吧？常言道“授人以鱼不如授人以渔”，教我解决问题的方法和思路总比干巴巴丢一个脱壳后的文件给我要好多了。

文件下载

用PEid查出来是ASPack 2.12，但是实际跟了一下发现只有最开始的几句指令跟Aspack壳一样，后面的完全不一样。ESP定律、最后一次异常、单步跟踪各种方法都用了还是没剥掉这个壳。最让我困惑的是下面这个地方：

HideOD，忽略除内存异常以外所有的异常，F9跑起来之后，最后一次异常断在下面这个地方

7C81EB28    5F              pop     edi
7C81EB29    8D45 B0         lea     eax, dword ptr [ebp-50]
7C81EB2C    50              push    eax
7C81EB2D    FF15 0415807C   call    dword ptr [<&ntdll.RtlRaiseExcep>; ntdll.RtlRaiseException
7C81EB33    5E              pop     esi                              ; abc.00A180B8 //断在这里
7C81EB34    C9              leave
7C81EB35    C2 1000         retn    10

而这个地方并没有SEH，同时，OD提示“异常406D1388”。堆栈显示的是下面内容：

0006F58C   00A180B8  abc.00A180B8 //栈顶
0006F590   406D1388  //注意这个值
0006F594   00000000
0006F598   00000000
0006F59C   7C81EB33  返回到 kernel32.7C81EB33 来自 ntdll.RtlRaiseException
0006F5A0   00000004
0006F5A4   00001000
0006F5A8   00A180E8  ASCII "Main"

请问406D1388到底是个什么东西？我手上还有另外一个变形的Asprotect加壳的文件，加壳部分的大部分指令跟上面这个Aspack变形壳类似，最后一次异常也是断在“异常406D1388”而且没有SEH。我查了资料406D1388好象是Delphi的一个异常，但是为什么会在这里异常而没有SEH呢？接下来又应该怎么操作才能剥壳？我自己也查了好多资料，确实是没辙了才来求助的，还请各位高人指点小菜一下...

[课程]FART 脱壳王！加量不加价！FART作者讲授！