下载：http://newhua.myrice.com/down/aat40a.zip

脱！脱！脱！ ------ 众人曰："还在脱啊！脱光了没！" 答："还剩一条裤衩"

脱壳 ----- AATools v4.0.0.596 (全称：Advanced Administrative Tools)

【前言】

我写文章以交流为主，希望大家在转载时保持文章的完整性。
多日对Asprotect v1.0加壳的程序做战未果，好容易有点收获。兴奋到了极点。晚上奋起神勇，挑灯做战。（老爸在一旁怒吼："几点了，还不睡，想成仙呀！"）。俺姓李，最多只能成半仙，如果俺姓胡就不同了。胡仙......呵呵。


样例文件：    AATools.exe    （主程序文件）
加壳方式：    ASProtect + ASPack v1.084
检测工具：    FileInfo
脱壳工具：    SoftICE v4.05,ICEPatch v2.0,ICEDump 1.061,ProcDump 1.62,Imp_list（这是一个好东东哦！URL http://www.reversing.net/TOOLS/016/Imp_list.exe）
目标要求：    脱壳
作者：        你看着办吧 ---- 陈小二语
日期：        2000-08-04

在《找Entry Point的又一方法 -----针对Asprotect v1.0加壳的程序》一文中我已说明了找Entry Point的方法。（补充：Ding.Boy大虾写了BWW2000可以快速找到Entry Point，强烈推荐，URL http://202.103.134.11/~fsdb/bww.zip）。这里剩下的事就不多了。我再说两句了。

1、首先，当然少不了用ProcDump来分析一下对我们有用的文件信息。
Entry Point:    00222001
Size of image:    00239000
Image Base:    00400000

1、找到Entry Point，在入口处下指令
/dump 400000 239000 c:\temp\dump.exe

2、好，按F5键，程序运行。这时运行Imp_list。单击Rebuild import，片刻，Imp_list会在工作目录下形成四个文件。分别是
Import0.bin
Import1.bin
Import2.bin
Address.txt
怎么样，简单吧。这样就Dump出了import table。

3、用ProcDump修改dump.exe。改各Section的Offset为RVA大小，PSize为VSize大小。改Entry Point为1764C0，改Directory中的Import Table的RVA为17D000，大小为3400。

4、最后别忘了把dump.exe中偏移17D000开始的字节用Import0.bin替换掉。运行OK！

【后记】
这里说两句，首先在看雪的Crack教学中我知道cloundnumer9兄已经成功脱壳了（他的方法我没试过），然后IceWorld大虾在看雪论坛下一贴，既脱壳又破解了。最后才是我赶上这班车。因为开始我用手动脱壳的方法在重建import table上遇到了很大的困难，后来找一工具才帮我度过难关。有兴趣手动脱壳的朋友不妨一试，如果你有好方法可以重建import table，一定要告诉我哦！Imp_list这个工具可不是百试百灵的，不信你试试对AZPR v3.11和ARPR v1.0脱壳试试。

以前我总喜欢在后记中加入自已的一些问题，希望大家帮帮忙，帮我解决。可是一直没有回应。所以这次就不写什么问题了。当然如果谁对加壳、脱壳有兴趣，可以和我交个朋友。Email:ljtt@yeah.net。