http://www2.freeshine.com/macd/jsgj/downloads/znzdat3.macd 下载后将macd改为zip 530K中的znzmate.exe 不知是哪种软件给加的壳，太厉害了。只要加载了ICE或TRW2000就立刻当机，用ICE欺骗工具也不行。

答复：

用FileInfo查看是用PELOCKnt v2.04加的密，但到playtools站点下载PEUNLOCK-NT解密却不成功。

序 号:849
标 题:如何脱指南针的壳 (792字)
发信人:冰毒
时 间:2000-5-15 8:57:27
详细信息:

Znzmate.exe显然是用PELOCKnt 2.04加密的，但是用PEUNLOCK解密时却提示程序不是PELOCKnt加密的。因为PELOCKnt并无更新的版本，而UCF出的PEUNLOCK是可以对付所有版本的PELOCKnt的。事情便有些蹊跷。PEUNLOCK带有源程序，不妨研究一下:

cmp word ptr [PEheader+0f6h], 1000h ; check if its PELOCKNT-ed, this
jnz NoPELock ; is a propertary flag for PELOCK-NT

好的，用PELOCKnt加密一个小程序，在HEX编辑器中观察对比

Znzmate: 0000 0100 1010 5045 4C4F 434B 6E74 ......PELOCKnt
正常情况: 0000 0100 0010 5045 4C4F 434B 6E74 ......PELOCKnt

这就是程序作者的小花招。知道如何做了吗？把1010改成0010，存盘。再试着用PEUNLOCK解密，OK！不过程序还有第二层壳，用ASPACK 1.07b加的壳，用UnAspack可以自动脱壳，但脱壳后的程序运行时却出错。好在手动脱壳也很简单。用ProcDUMP脱壳并修改程序入口值即可。

--------------------------------------------------------------------------------