新人学破解，遇到的一个软件查了一下是两重壳，请问可以跟着教程手动脱壳吗

途牛i

https://www.lanzoub.com/iSQGr20mxbji


这个是软件地址


一个十几年前的软件



试了一下使用自动脱壳软件只能脱ASPack不能继续脱UPX，而且脱过ASP壳程序就报错无法运行


现在找了一个教程手动脱壳，但是手动脱壳之后的程序依旧无法运行，




请问大佬们，双重壳的话和单层壳脱壳方法一样吗？有没有什么关键词可以找到相关的教程学习

cyn123

链接: https://pan.baidu.com/s/13kIwwPKnXJ89cLkTxEIV3A?pwd=3v76

爱飞的猫

正常两次 ESP 定律到达 OEP，然后脱壳修复即可。

666888tzq

带壳调试呗，打补丁。

1002217709

这两种壳都是可以esp定律脱掉的，不过我都是无视壳，直接开始调试，完事易语言写个补丁就行了

736148001

估计不是2层壳，1层UPX和1层北斗？能让体积小了更小？

w759003376

是不是程序或者调试系统问题

wqipk

Hmily老大讲过，要在xp环境脱壳，要不存在重定位问题。

xiaoxiaoY520

可以手动脱试一下，单步下硬件断点，我看了一下，两层壳的下断的地方应该是一样的



retn后这样子，删除分析再单步，可以看到esp下断是一样的，esp定律直接走。


有一个循环和一个长跳转直接单步到第二个长跳转应该就到oep了，循环清了一大片空间出来没注意干嘛的

到这脱下来就行，不要修复导入表，od的有点问题，需要手动找导入表

往下单步找一个跳转的，实际就是找调用导入表的东西，找到后数据窗口中去看，类似这样：


上下翻一翻，一大片0中间就是导入表应该是这两个位置5479fC，5471cc，修复导入表的帖子挺多的，网上找就有，对于这个段去手动获取修复就行，大小大概是830h，自动找不太行，必须手动搞。搞完应该就能跑起来了，c05的话应该还是导入表的问题，调用地址不对。

大概看了一下，应该还有个校验，跳过去就行。

脱下来跳这个，正常流程也是跳，应该是缺了这玩意吧，我也不是很懂。

byh3025

x32系统脱壳下来是正常的