程序的壳子：ASProtect 1.23 RC4 – 1.3.08.24 -> Alexey Solodovnikov
用od载入程序，忽略除内存以外的所有异常，如下图。

话说这个东西是前天拿到的，但是当时在家，东西也不全。平直接感觉是加壳了。去peid官方下载了个没有更新特征库的报了个什么都没发现，晕死。

今天重新查壳发现是Armadillo V6.X Minimum Protection -> Silicon Realms Toolworks * Sign.By.fly * 20081227 *，脱壳后发现程序是用bc++写的：

这个文章网上有的，这里只是做个类似笔记的东西，没别的用处（文章本身就是依样画葫芦。）。

目标：Agama Web Buttons2.52

用od载入后忽略所有异常，对code段下F2断点，F9运行，注意观察堆栈窗口，直到出现Se handle

常见脱壳知识：
1.PUSHAD （压栈） 代表程序的入口点
2.POPAD （出栈） 代表程序的出口点，与PUSHAD相对应，一般找到这个,说明OEP可能就在附近
3.OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP），
只要我们找到程序真正的OEP，就可以立刻脱壳。

脱壳的几种方法：
方法一：单步跟踪
方法二：ESP定律脱壳
方法三：内存跟踪
方法四：跟踪出口法
方法五：最后一次异常法
方法六：懒人脱壳法