在论坛和GOOGLE上搜索了关于穿山甲加的DLL文件的壳，发现大家转的是相同的帖子内容。大家都运用的是
下断点 BP GetModuleHandleA+5，Shift+F9 运行中断后，注意看堆栈：

这里用 BP API+5 是为了多过壳检查是否下过 API 断点，相关资料看雪论坛上面可以找到。

00069364  /0006EAAC
00069368  |00B26DF3  返回到 00B26DF3 来自 kernel32.GetModuleHandleA
0006936C  |00B3BC1C  ASCII "kernel32.dll"
00069370  |00B3CEC4  ASCII "VirtualAlloc"
00069374  |00B3FA98
00069378  |7C9210ED  ntdll.RtlLeaveCriticalSection

Shift+F9

00069364  /0006EAAC
00069368  |00B26E10  返回到 00B26E10 来自 kernel32.GetModuleHandleA
0006936C  |00B3BC1C  ASCII "kernel32.dll"
00069370  |00B3CEB8  ASCII "VirtualFree"
00069374  |00B3FA98
00069378  |7C9210ED  ntdll.RtlLeaveCriticalSection

Shift+F9

000690C8  /00069368
000690CC  |00B15CE1  返回到 00B15CE1 来自 kernel32.GetModuleHandleA
000690D0  |0006921C  ASCII "kernel32.dll"                               返回时机已到，

==========================================================
关键是我在学习脱个DLL文件时

前面的00069368  |00B26E10  返回到 00B26E10 来自 kernel32.GetModuleHandleA
0006936C  |00B3BC1C  ASCII "kernel32.dll"
00069370  |00B3CEB8  ASCII "VirtualFree"

是找到了  。可是没有见到
Shift+F9

000690C8  /00069368
000690CC  |00B15CE1  返回到 00B15CE1 来自 kernel32.GetModuleHandleA
000690D0  |0006921C  ASCII "kernel32.dll"                               返回时机已到

而是见到了
CALL 到GetmoduleHandlA来自009A1D25

pModule=NULL
不知道怎办了

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课