摘要： 今天心血来潮，想看下FFI是怎么判断一个EXE加的什么壳的，流程到底是怎样的呢？很明显的一点就是FFI最后是要把结果显示出来的，所以我们可以尝试下段SetWindowText函数，然后看栈中的数据，如果有MD5 ASPack等字符出现的时候那么说明判断壳流程的那个函数就在附近，根据这点就能找到关键代码了。我这里的是00410830。找到之后略微跟踪了下，不小心把特征码的结构给看出来了，无心插柳啊。跟踪的过程中在内存数据区发现了很多特征码的结构。现在就列出ASPack v2.12的特征码结构。00D80970 02 00 00 00 8C 09 D8 00 A4 09 D8 00 AC 09 . 阅读全文