砸壳工具dumpdecrypted的原理 砸壳后文件,分三部分组成:开头和结尾部分都是不加密的内容,从原文件里copy过来的;中间是根据从encryption_info_command读出的加密部分的偏移和长度,然后从内存dump出来的。这个中间加密部分很长,占了二进制文件长度的大部分。解密过程是第一次读页的时候,按页实时触发的。