这个壳虽说是加密壳，但od载入即能运行，没有异常，用内存镜像法，多次断后找到地址：：477eb0处：
00477EB0     55                  push ebp                                      ; AFR.00477EB0
00477EB1     8BEC                mov ebp,esp
00477EB3     33C0                xor eax,eax
00477EB5     55                  push ebp
00477EB6     68 367F4700         push AFR.00477F36
00477EBB     64:FF30             push dword ptr fs:[eax]
00477EBE     64:8920             mov dword ptr fs:[eax],esp
00477EC1     832D EC9A5F00 01    sub dword ptr ds:[5F9AEC],1
00477EC8     73 5E               jnb short AFR.00477F28
00477ECA     E8 19FFF8FF         call AFR.00407DE8                 jmp to kernel32.GetVersion
00477ECF     25 FF000000         and eax,0FF
非常像oep，于是此处脱了，然后注册表修复时不对了，打开superirec，输入地址后发现只有1个指针……就是getversion，修复自然不对，高手帮忙看一下是不是有暗桩或stolen codes我没能发现？
现在把rva大小修改后（原来只有4……），找到好多指针，无法修复，只能剪掉，然后也不对。搞得我不知道到底是oep不对呢，还是iat修复的问题。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

• AFR.rar （936.19kb，7次下载）