大家好！我是无花的蔷薇，今天教大家脱SVKP1.32壳这款壳我找不到实习软件，就自己用98记事本加了
一下壳   
PEID查壳SVKP 1.3x -> Pavol Cerven   FI查一下SVKP1.32
OD载入
避开IAT加密，处理输入表
忽略所有异常选项，隐藏OD！载入加壳程序  记录ESP值0012FFC4
命令行下断：bp GetModuleHandleA+5，Shift+F9 两次，断下后取消断点，Alt+F9返回！
1、搜索特征码，搜索所有命令：mov dword ptr ds:[edi],eax
双击第4行，用SVKP 1.32插件去下花指令！

把这段代码的popad移到mov dword ptr ds:[edi],eax上，nop掉原先的popad！

2、搜索所有命令 cmp dword ptr ds:[ebx],251097CC  //用来处理特殊加密
双击第一个来到代码处  
0F4D0F64    813B CC971025   cmp dword ptr ds:[ebx],251097CC
0F4D0F6A    EB 03           jmp short 0F4D0F6F
记住0F4D0F6A这个地址
0F4D0F64    813B CC971025   cmp dword ptr ds:[ebx],251097CC   //F2下断 shirt+F9运行
取消断点  F8单步向下（遇到CALL按F7跟进）
0F4D0FF4   /0F84 EB300000   je 0F4D40E5
0F4D0FFA   |60              pushad
我们要找的就是PUSHAD的地址0F4D0FFA  现在按ctrl+G回到刚才叫大家记住的地址0F4D0F6A
把JMP SHORT 00DC0F6F换 JMP 0F4D0FFA（也就是PUSHAD的地址）
继续bp GetModuleHandleA+5，Shift+F9 通过所有异常，断下后取消断点，Alt+F9返回！
3.下命令行断点hr 0012FFB0,Shift+F9中断3次！
取消断点！！
命令行下tc ebp==12FFC0(12FFC0=12FFC4-4) //12FFC4是壳入口处的ESP值
右键--分析代码，避免我们向上翻看的时候代码混乱！
纠正一下地址开始脱壳，不能运行，需要修复一下  不能修复
我们用LORDPE来脱壳  OD插件有时不好用
这个壳比较难修复，这个无效我试过剪切、等级1和等级3都不行修复
差相关资料试了好久才找到一种方法可行
双击无效指针，名称填GetModuleHandleA  确定
抓取修复文件，现在我们来试试运行吧！原先没修复不能运行
壳已经脱了。

华夏提示：为防止其他站点恶意捆绑，华夏黑客同盟提醒您请到本站下载相关软件！
          动画内附广告纯属个人宣传，网络联络，风险自担！