PEID 查壳是  yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
用脚本Yodas Protector 1.02 OEP Finder 查到OEP到入下位置，可是为什么OEP
会在ntdll 内核模块中呢？dump后文件出错。。。请各位大牛指点。

7C938F7B >/$  8BFF          mov     edi, edi                    ;  This is the OEP - Found by dqtln
7C938F7D  |.  55            push    ebp
7C938F7E  |.  8BEC          mov     ebp, esp
7C938F80  |.  51            push    ecx
7C938F81  |.  56            push    esi
7C938F82  |.  57            push    edi
7C938F83  |.  64:A1 1800000>mov     eax, dword ptr fs:[18]
7C938F89  |.  8B78 30       mov     edi, dword ptr [eax+30]
7C938F8C  |.  8B87 A4000000 mov     eax, dword ptr [edi+A4]
7C938F92  |.  8B75 08       mov     esi, dword ptr [ebp+8]
7C938F95  |.  8946 04       mov     dword ptr [esi+4], eax
7C938F98  |.  8B87 A8000000 mov     eax, dword ptr [edi+A8]
7C938F9E  |.  8946 08       mov     dword ptr [esi+8], eax
7C938FA1  |.  0FB787 AC0000>movzx   eax, word ptr [edi+AC]
7C938FA8  |.  8946 0C       mov     dword ptr [esi+C], eax
7C938FAB  |.  8B87 B0000000 mov     eax, dword ptr [edi+B0]
7C938FB1  |.  8946 10       mov     dword ptr [esi+10], eax
7C938FB4  |.  8B87 F4010000 mov     eax, dword ptr [edi+1F4]
7C938FBA  |.  85C0          test    eax, eax
7C938FBC  |.  0F84 9A000000 je      7C93905C
7C938FC2  |.  53            push    ebx
7C938FC3  |.  50            push    eax                         ; /s
7C938FC4  |.  E8 816EFFFF   call    wcslen                      ; \wcslen

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课