想说的都给哪个pntmdcg说完了。。很讨厌嘛。。

带给大家一个秒脱双重壳好了。。

程序名称：MTV制作圣手10.0

两个壳就叫双层壳好了。。用到ESP定律。。详细分解大家看。。

1.用查壳工具DIE0.64：ASPack2.12壳---还有一个哦。。等下会说的。

2.用汇编工具OD开始脱壳：

首先设置一下OD，忽略所有错误。。

好载入OD。。隐藏OD。。[隐藏OD的插件。到处到有下载啊，自己搞掂]

很好载如后如图一。F8单步走。看图解。。呵呵。。

图一：
0058B001 >  60              pushad           [ 载入就是这样了]
0058B002    E8 03000000     call MTVMaker.0058B00A   就走一步到这看看右边寄存器里ESP变红了，如图二。。哈哈。

0058B007  - E9 EB045D45     jmp 45B5B4F7
0058B00C    55              push ebp
0058B00D    C3              retn
0058B00E    E8 01000000     call MTVMaker.0058B014
0058B013    EB 5D           jmp short MTVMaker.0058B072
0058B015    BB EDFFFFFF     mov ebx,-13
0058B01A    03DD            add ebx,ebp

图二：
EAX 00000000
ECX 0012FFB0
EDX 7C92E4F4 ntdll.KiFastSystemCallRet
EBX 7FFDF000
ESP 0012FFA4          ---这里红了。。恩。。右键点击这里再点提示里，跟随到数据窗口。到图三。

图三：
0012FFA4  69 6C 65 73 5C 4D 54 56 F0 FF 12 00 C4 FF 12 00  iles\MTV?.?.

在OD的左下加十六进制里。看到了嘛。。就在这左键拉一下这些数字。。好放手，右键一下
点断点--硬件访问--字。OK。。现在开始点F9运行了。。

数一下啊。。

F9运行一次。。
0058B3B0   /75 08           jnz short MTVMaker.0058B3BA   到这里。F8单步走。
0058B3B2   |B8 01000000     mov eax,1
0058B3B7   |C2 0C00         retn 0C
0058B3BA   \68 00905800     push MTVMaker.00589000

00589000    9C              pushfd           接着上面跳到这里了。。很眼熟吧。这就是第二个壳。。。脱出来验证一下看是什么壳先。。高手飞过啊。[人家都是一连线下去的，咱是新手分开来]。。右击这里。。点用OD脱壳进程。好。。保存一下。
00589001    60              pushad
00589002    E8 02000000     call MTVMaker.00589009
00589007    33C0            xor eax,eax

用查壳工具DIE0.64查一下刚才脱出来的程序：OK脱壳1.EXE

查不到。。晕。。哦。。可能压缩壳吧。。不管它了继续。。

3.把OK脱壳1.EXE载入OD：

00589000 >  9C              pushfd          OK。。显示了。。我们方法继续用ESP定律。F8单步走。
00589001    60              pushad       就是这里了，，由于方法一样，大家自己理解一下好了， 就走一步到这看看右边寄存器里ESP变红了
00589002    E8 02000000     call OK脱壳1.00589009
00589007    33C0            xor eax,eax
00589009    8BC4            mov eax,esp

按脱第一壳的步骤哈。。那就是ESP定律了。。

005893E8    68 D89E5200     push OK脱壳1.00529ED8  到这里开始吧。。F8单步走。。
005893ED    C3              retn
005893EE    C8 000000       enter 0,0

00529ED8      55            db 55                                    ;  CHAR 'U'  接上就跳到这里了。看右边ESP是红色。。那么。。这个55就是我们的目标了，，我们把它脱出来。。OD别关还用的着。。

用查壳工具DIE0.64查一下：OK脱壳2 。EXE

显示无调用。。很可怕的软件。。

试一下能运行不。。不行。。提示不是有效的程序。。我们来修复一下。。

打开脱壳用的修复工具[Import REConstructor v1.6]

C:\Program Files\MTV制作圣手10.0\OK脱壳2_.exe 修复完成并已经保存.

个鸟鸟呢。。。这里不会解释。。希望看雪的朋友们帮我补上这里！谢谢。。和我一样新手的可以去搜一下有关修复壳的教程哈。。不好意思。。

OK。。汗啊。。水平有限。。解释不是很到位。。沙里哈。。。

继续。。修复后打开就一闪而过。。难度加大了。。还来了自校验。。

恩。。超汗。。这里继续讲好了，，刚才OD都没关~~嚎~

那么再打开一个OD把OK脱壳2_.exe载入。。

提示：这里我们用到一个断点命令：bp GetFileSize  获取文件大小

方法就叫双开收拾自校验好了

两个都下命令后，，发现都断下来了。。

两个都单步走对比一下，，重点看跳转哈。。
00517844  |.  E8 8FCEEEFF   call 脱壳.004046D8

EAX 00F53640 ASCII "5dc98f1c37b059ac7cbf3686652fa322"
ECX 00000000
EDX 00F57294 ASCII "3e0da897884c8bdb8f72ac45d6dc150f"

00526987  |.  B8 D8695200   mov eax,脱壳.005269D8                      ;  ASCII "MDMyNy00ODAzLTQwODItMzc2Mg=="

00526991  |.  8B45 FC       mov eax,[local.1]
EAX 00F558AC ASCII "0327-4803-4082-3762"

0041FD74  |. /7D 48         jge short 脱壳.0041FDBE

00529F00   /EB 02           jmp short MTVMaker.00529F04

00529F07   /EB 01           jmp short MTVMaker.00529F0A

00529EFD   /EB 0E           jmp short MTVMaker.00529F0D

00517849   /74 1A           je short MTVMaker.00517865       没脱壳跳的---脱壳的没跳，那么改这里跳就可以去自校验了。
0051786C   /EB 0C           jmp short MTVMaker.0051787A

00517BEE   /EB 0C           jmp short MTVMaker.00517BFC

004812DF   /EB 1F           jmp short MTVMaker.00481300

0048130A   /74 0A           je short MTVMaker.00481316

00480FBE   /74 12           je short MTVMaker.00480FD2

00488750   /EB 16           jmp short MTVMaker.00488768

保存出来。。试试 。。运行正常哈。。OK我就收工了。。不到之处多多包含，，俺也是初学。。

说白了就是拿邀请码的~~呼~~~呼~~~~

后结：终于明白高手们说的，写破文比破解还要难~~~~我们以后要珍惜高手们分享得点点滴滴的精华作品~努力学习吧！只有更牛没有最牛！

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)