用PEID0.95查壳为
nSPack 2.2 -> North Star/Liu Xing Ping
用exeinfope查壳为
nsPack ver.2.3 unreg - by North Star  -  www.nsdsn.com
从查壳工具判断大体应该是北斗的壳
于是OD载入
0040101B >- E9 F2B52200     jmp 传奇脚本.0062C612                        ; //停在这里.F8
00401020    B4 09           mov ah,9
00401022    BA 0B01CD21     mov edx,21CD010B
00401027    B4 4C           mov ah,4C
00401029    CD 21           int 21
0040102B    70 61           jo short 传奇脚本.0040108E
0040102D    636B 65         arpl word ptr ds:[ebx+65],bp
00401030    64:2062 79      and byte ptr fs:[edx+79],ah
00401034    206E 73         and byte ptr ds:[esi+73],ch
00401037    70 61           jo short 传奇脚本.0040109A
00401039    636B 24         arpl word ptr ds:[ebx+24],bp
0040103C    40              inc eax
0040103D    0000            add byte ptr ds:[eax],al
0040103F    0050 45         add byte ptr ds:[eax+45],dl
00401042    0000            add byte ptr ds:[eax],al
00401044    4C              dec esp

、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、
0062C612    9C              pushfd                                   ; 到这里继续F8
0062C613    60              pushad                                   ; 继续F8
0062C614    E8 00000000     call 传奇脚本.0062C619                       ; HR ESP定律
0062C619    5D              pop ebp
0062C61A    B8 07000000     mov eax,7
0062C61F    2BE8            sub ebp,eax
0062C621    8DB5 5EFEFFFF   lea esi,dword ptr ss:[ebp-1A2]
0062C627    8B06            mov eax,dword ptr ds:[esi]
0062C629    83F8 00         cmp eax,0

F9运行。。。。

0062C88B    9D              popfd                                    ; //停到这里
0062C88C  - E9 AF57FFFF     jmp 传奇脚本.00622040  ; //F8到这里，继续F8
0062C891    8BB5 12FEFFFF   mov esi,dword ptr ss:[ebp-1EE]
0062C897    0BF6            or esi,esi
0062C899    0F84 97000000   je 传奇脚本.0062C936
0062C89F    8B95 1AFEFFFF   mov edx,dword ptr ss:[ebp-1E6]
0062C8A5    03F2            add esi,edx
0062C8A7    833E 00         cmp dword ptr ds:[esi],0
0062C8AA    75 0E           jnz short 传奇脚本.0062C8BA
0062C8AC    837E 04 00      cmp dword ptr ds:[esi+4],0
0062C8B0    75 08           jnz short 传奇脚本.0062C8BA
0062C8B2    837E 08 00      cmp dword ptr ds:[esi+8],0
0062C8B6    75 02           jnz short 传奇脚本.0062C8BA
0062C8B8    EB 7A           jmp short 传奇脚本.0062C934
0062C8BA    8B5E 08         mov ebx,dword ptr ds:[esi+8]
0062C8BD    03DA            add ebx,edx

继续F8后到

00622040    68 D9386200     push 传奇脚本.006238D9                       ; ASCII "|\Tl@LdhpPtX(3"
00622045    E8 42350000     call 传奇脚本.0062558C
0062204A    0000            add byte ptr ds:[eax],al
0062204C    0000            add byte ptr ds:[eax],al
0062204E    0000            add byte ptr ds:[eax],al
00622050    0000            add byte ptr ds:[eax],al
00622052    0000            add byte ptr ds:[eax],al
00622054    0000            add byte ptr ds:[eax],al
00622056    0000            add byte ptr ds:[eax],al
00622058    0000            add byte ptr ds:[eax],al
0062205A    0000            add byte ptr ds:[eax],al
0062205C    0000            add byte ptr ds:[eax],al
0062205E    0000            add byte ptr ds:[eax],al
00622060    0000            add byte ptr ds:[eax],al
00622062    60              pushad

按理说00622040    68 D9386200     push 传奇脚本.006238D9                       ; ASCII "|\Tl@LdhpPtX(3"

这个应该就到了OEP了
可是他还有一个跳转。。按照网上的教程也没办法找。。难道不是北斗的壳么？
有大牛帮一下么？

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

• 咋就脱不掉.rar （852.10kb，38次下载）