OD脚本脱壳

From：http://www.52pojie.cn/thread-197873-1-1.html

今天咱们就讲一下脚本脱壳，相信本讲内容有部分朋友已经会用了，但是我还要讲，因为很多新手还不会用脚本。

脚本脱壳，确实比ESP定律脱掉的壳要更多了。所以值得大家学习。
附件里我会上传本讲用到的软件以及脱壳脚本（180+个脱壳脚本，还有更多的脚本大家自行搜索下载）

OK，开始！
我们先查壳，请看下图

 

这里注意一下，我们将OD设置一下，具体如下图:
我们在"选项"--> "调试设置"-->"异常"

 

然后OD载入程序后点"否"，然后在反汇编窗口程序停留那一行右键，我们选择"运行脚本"-->"打开"

 

然后找到脚本的文件夹，选择刚才PEID查到的壳，如下图

 

然后我们双击，进入选择详细版本，选择ASpack 2.12 然后打开

 

这时脚本会直接运行，在运行中，会有3个提示窗口，全部“确定”，如下图

 

继续确定

 
最后还是确定

 

3次确定完成以后，OD会停留在这里，请OD自动选中的代码（绿色部分）。

 

我们在这一行右键，选择跟踪

 

现在我们就来到OEP了。看下图。你会发现这里的OEP不是任何编程语言的OEP长相，对吧？

 

其实他就是OEP，我们在这一行右键，选择“分析”-->"从模块中删除分析"如下图

 

现在在看，这样就对了，是吧？
你现在肯定还有一个疑惑，这是什么程序的入口？
那我们现在先脱壳，在入口处右键--“用OllyDump脱壳调试进程”

 

然后我们就PEID查一下吧？顺便看看脱壳成功没？

 

OK，Delphi的OEP就是这个样子了。
脱壳成功！
提示：
如果你是64位系统，建议使用虚拟机安装32位系统进行脱壳。否则脱壳后可能会导致打开提示错误。
(建议找到OEP后，使用LordPe，ImportREC.exe修正 )