本筆記是針對ximo早期發的脫殼基礎視訊教程，整理的筆記。

       ximo早期發的脫殼基礎視訊教程 下載地址如下：          

 http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5%9f%ba%e7%a1%80.7z

        本筆記用到的工具下載地址：

http://download.csdn.net/detail/obuyiseng/9466056

簡介：

AsPack是高效的Win32可執行程式壓縮工具，能對程式設計師開發的32位Windows可執行程式進行壓縮，使最終檔案減小達70%！目前針對ASPACk所開發的脫殼工具軟體也有許多，包括ASPACK ATRIPPER 、ASPACKDIE 、ASPROTECT等 .

     脫殼：

     工具：

               ExeinfoPE或PEid、OD、LordPE、ImportREConstructor

     脫殼檔案：

              02.QQ個性網名暱稱檢視器_ASPACK.exe

     筆記：

         1、使用ExeinfoPE或PEid確定是否加殼 2、尋找OEP 我們可以使用單步跟蹤、ESP定律、一步直達、2次記憶體映象等方法，由於這四種前面已經總結過，所以，我們我們主要介紹 方法5：模擬跟蹤 方法6：SFX兩種方法。由於有特性點，所以單步跟蹤還需要說下。             方法1：單步跟蹤  
                           此時在call的位置按 F8會跑飛了，那麼我們重新執行按 F7進入，然後再單步即可。                                   call後爆出程式 跑飛了 過載 call 時跟進(單步左邊的按鈕 F7) 繼續單步
                  經驗 在PE頭附近的call基本上會跑飛 所以遇到直接F7
              OEP入口                
            方法2：ESP定律  
                  跳到後可以 F2再執行再F2 （估計這三個動作相當於一個F4）
            方法3：一步直達 
                  ctrl+F 輸入popad 查詢下一個（ctrl+L）
            方法4：2次記憶體映象
                  Alt+M 找到程式塊的.csrc F2 執行 alt+M 找到地址00401000 F2 執行 出現OEP            方法5：模擬跟蹤
                 在記憶體板塊（Alt+M） 找到 “包含 SFX,輸入表,重定位” 這行後，                              
                在命令列處輸入 tc eip<xxxxxx（aspack處地址）  左上角顯示跟蹤後 點選執行 點了幾次後找到OEP                                   等待就調到OEP了                           方法6：SFX   模擬跟蹤
                   選項 除錯選項 SFX 選擇 塊方式跟蹤，然後重新載入程式，就會發現OD自動調整到了OEP的位置（使用完後，恢復預設設定）