有这种情况就证明你是在用win98的系统，抛弃win98系统，用win2k或winXP吧。:)

我用的是2KPRO

那你有没有用插件隐藏OD？

最初由 小虾 发布
那你有没有用插件隐藏OD？

我用插件隐藏了OD。我贴出这个压缩的notepad.您可以试试。我这里总是跑飞了。点击下载：附件！ 点击下载：附件！

EncryptPE
老王的壳

http://bbs.pediy.com/pediybbs/index.php?sid=9a6b2158dc6d79f7e6f9116f34d1cb3f
搜索相关手脱笔记

fly斑竹：
麻烦你帮我看看这个。我按您的文章基本上没法跟下去。通常在2-3个INT3异常后，要么显示“退出”了，要么就在[0B11290]或相似的地址处出现“访问违反”，然后就在这里死循环了。只有一次，也不知怎么走到了您所写的：

☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆
7119CF57异常时的堆栈：

0012FF98    0012FFE0  指针到下一个 SEH 记录
0012FF9C    7119CE8D  SE 句柄  //此处下断   
0012FFA0    711A37BF  返回到 V1200351.711A37BF 来自 V1200351.7119CE88
☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆

在7119CE8D断下后，下面7119CF11是mov dword ptr ds:[ebx+B0],eax   F4直接过去，EAX=OEP值  

7119CE8D     53                   push ebx//此处下断，SHIFT+F9断在这！
7119CE8E     52                   push edx
7119CE8F     8B5C24 14            mov ebx,dword ptr ss:[esp+14]
7119CE93     8B93 C4000000        mov edx,dword ptr ds:[ebx+C4]
7119CE99     8B83 C0000000        mov eax,dword ptr ds:[ebx+C0]
7119CE9F     A3 38F61B71          mov dword ptr ds:[711BF638],eax
7119CEA4     E8 8F040000          call V1200351.7119D338
7119CEA9     9C                   pushfd
7119CEAA     58                   pop eax
7119CEAB     A3 38F61B71          mov dword ptr ds:[711BF638],eax
7119CEB0     E8 83040000          call V1200351.7119D338
7119CEB5     8B83 B8000000        mov eax,dword ptr ds:[ebx+B8]
7119CEBB     40                   inc eax
7119CEBC     8983 B8000000        mov dword ptr ds:[ebx+B8],eax
7119CEC2     8B4424 0C            mov eax,dword ptr ss:[esp+C]
7119CEC6     8B00                 mov eax,dword ptr ds:[eax]
7119CEC8     3D 03000080          cmp eax,80000003
7119CECD     75 71                jnz short V1200351.7119CF40
7119CECF     803D 54F61B71 01     cmp byte ptr ds:[711BF654],1
7119CED6     74 4F                je short V1200351.7119CF27
7119CED8     8B42 0C              mov eax,dword ptr ds:[edx+C]
7119CEDB     8983 9C000000        mov dword ptr ds:[ebx+9C],eax
7119CEE1     8B42 10              mov eax,dword ptr ds:[edx+10]
7119CEE4     8983 A0000000        mov dword ptr ds:[ebx+A0],eax
7119CEEA     8B42 14              mov eax,dword ptr ds:[edx+14]
7119CEED     8983 B4000000        mov dword ptr ds:[ebx+B4],eax
7119CEF3     8B42 1C              mov eax,dword ptr ds:[edx+1C]
7119CEF6     8983 A4000000        mov dword ptr ds:[ebx+A4],eax
7119CEFC     8B42 20              mov eax,dword ptr ds:[edx+20]
7119CEFF     8983 A8000000        mov dword ptr ds:[ebx+A8],eax
7119CF05     8B42 24              mov eax,dword ptr ds:[edx+24]
7119CF08     8983 AC000000        mov dword ptr ds:[ebx+AC],eax
7119CF0E     8B42 28              mov eax,dword ptr ds:[edx+28]  ★ ★
7119CF11     8983 B0000000        mov dword ptr ds:[ebx+B0],eax ;Notepad.004010CC//OEP值
（我这里是1006420）

但是在我在1006420处设了内存访问断点后却没法走到，而在中途出现了“退出”，这时任务条上已经出现“notepad”任务，但OD中显示程序还在“v1200XXX”中。

不管我怎么设置OD，每次的调试过程和结果好象都不一样。我等菜鸟真不知该如何对付这个壳。

隐藏OD了没有？可以下 硬件执行 断点看看

实在烦了就暂时放一放
先脱脱其他压缩壳，过几天再看或许就有新的进展了

我用了二哥放出的killOD,事先用插件隐藏了OD。

最烦的就是好象同样的设置，但每次跟的结果都不太一样。