軟件破解教程：手動(dòng)脫殼

步驟 

確定殼的種類

一般拿到軟件后，可用工具FileInfo、gtw、TYP32等偵測(cè)文件類型的工具來(lái)看看是何種殼，然后再采取措施。入口點(diǎn)（Entry Point）確定

對(duì)初學(xué)者來(lái)說(shuō)定位程序解殼后的入口點(diǎn)確定較難，但熟練后，入口點(diǎn)查找是很方便的。 決大多數(shù) PE 加殼程序在被加密的程序中加上一個(gè)或多個(gè)段。 所以看到一個(gè)跨段的 JMP 就有可能是了。如：UPX 用了一次跨段的 JMP ， ASPACK 用了兩次跨段的 JMP 。 這種判斷一般是跟蹤分析程序而找到入口點(diǎn)，如是用TRW2000也可試試命令：PNEWSEC，它可讓TRW2000中斷到入口點(diǎn)上。 

PNEWSEC：運(yùn)行直到進(jìn)入一個(gè) PE 程序內(nèi)存的新的 section時(shí)產(chǎn)生斷點(diǎn)。（如不懂，以后到脫殼高級(jí)篇自會(huì)明白） 

另外也可用D.boy的沖擊波2000,它能輕易的找到任何加密殼的入口點(diǎn)，

dump取內(nèi)存己還原文件

找到入口點(diǎn)后，在此處可以用 Procdump的FULL DUMP功能來(lái)抓取內(nèi)存中整個(gè)文件， 

如是用TRW2000也可用命令：

 makepe命令含義：從內(nèi)存中整理出一個(gè)指令名稱的PE格式的exe文件， 當(dāng)前的 EIP 將成為新的程序入口，生成文件的 Import table 已經(jīng)重新生成過(guò)了。生成的PE文件可運(yùn)行任何平臺(tái)和微機(jī)上。 

 pedump命令含義：將PE文件的內(nèi)存映像直接映像到指定的文件里。生成的文件只能在本機(jī)運(yùn)行，不能在其它系統(tǒng)平臺(tái)或微機(jī)運(yùn)行。 

 修正剛dump取的文件

 如是用 Procdump的FULL DUMP功能脫殼的文件，要用 Procdump或PEditor等PE編輯工具修正入口點(diǎn)（Entry Point）。