手把手教程：脱壳ASProtect1.23 RC4并修复Stolen Code

标题“手脱ASProtect1.23 RC4”中的“手脱”指的是手动脱壳，即手动去除软件中的保护壳。ASProtect是一种加密和保护软件的工具，它能够对可执行文件进行加密，以防止被反编译、调试和非法修改。RC4是一种加密算法，这里的“RC4”表示版本号。脱壳是逆向工程的一种常见任务，用于恢复软件的真实代码，以便进行分析或修改。 描述部分提到了三个关键步骤，以及一些具体的技巧和概念： 1. 找到OEP（Original Entry Point）：OEP是程序未被加密前的原始入口点，是程序开始执行的地方。在脱壳过程中，找到真正的OEP至关重要，因为它标志着程序开始执行的地方。文中提到通过异常断点来跟踪程序的执行过程，直到找到一个跨段转移（段间跳转），这通常意味着程序已经跳转到了其真正的入口点。然而，这个入口点已经被STOLEN CODE（窃取的代码）处理过了。 2. 解密IMPORT：IMPORT指的是程序需要导入的动态链接库（DLL）中的函数。由于ASProtect1.23 RC4使用了IAT HOOK技术，导入地址表（Import Address Table, IAT）被修改，导致程序的调用关系被破坏。解密IMPORT的目的是去除这种IAT HOOK，将程序恢复到正常的状态。恢复过程中需要清除用于分隔不同DLL函数地址的随机数，将它们还原为0。此外，对于直接将API代码复制到程序中使用的API，需要通过分析确定这些API是什么，然后进行相应的修复。 3. 修复STOLEN CODE：STOLEN CODE是ASProtect的一种加密技术，它会将原始程序的一部分代码窃取出来并加密，然后在程序中以替代的方式执行。了解编译器入口代码的特征对于确定哪些代码被STOLEN至关重要。文中还提到使用IMPORT REC的“Get API Calls”功能来搜索特定的标志（如FF 15），这样可以定位到调用API的位置，通过分析这些规律，可以编写脚本或程序批量修复这些代码。 技巧部分提到了两种用于辅助识别和修复被加密代码的工具和方法：IMPORT REC的Advanced Commands和TRACE LEVEL。IMPORT REC是一个功能强大的脱壳工具，它提供了多种高级命令用于分析导入表。TRACE LEVEL是一个用于跟踪程序执行情况的功能，但在某些情况下可能会产生错误的识别结果。 总结起来，手脱ASProtect1.23 RC4涵盖了对加密软件的脱壳、定位程序原始入口点、恢复被修改的导入表以及修复由于保护机制而改变的程序执行流程。整个过程需要对汇编语言、操作系统、编译器以及加密技术有深入的理解和实践经验。这个过程也充分体现了逆向工程师在处理加密软件时所面临的复杂性和挑战。