如何判斷被Asprotect加殼?我們簡單來談談:
(1)先用Procdump32去分析,若Section Name除了.data和.rsrc外,沒有其他的Section Name且有多個.data那它有八成是Asprotect加的殼.
(2)執行Imp_list,看它的Address.txt,RVA是否跟軟件的某一Section的VO一樣,若一樣且Address.txt裡的函數還原的很好,那它幾乎可確定是Asprotect1.0以上加的殼,且有.idata段.
(3)若RVA不符合,且Address.txt一開始是GetProcAddress後面緊接著一大堆空白函數,到最後才出現一系列有系統的函數列,這就是沒有.idata只有.radta段.
(4)若有.idata,你看它的Address.txt中的函數,若Shell32.dll,Comdlg32.dll,Version.dll它的成員都是亂碼,那它就是Asprotect1.06或1.07
(你可以參考Azpr3.21,Aw95prV.1.2,WinNarigatorV.1.91等)
以上只是簡單的分類,不代表任何意義,還需要你多去Trace,和明白PE結構,你會有更多的掌握.