020588A4    call Test_3.01FDC1E5   -->这是程序载入 OD 后的入口   
020588A9    lea esp,dword ptr ss:[esp+0x8]
020588AD    je Test_3.0209E009
020588B3    lea ebx,dword ptr ss:[esp+0xEDE09A4A]
020588BA    pushad
020588BB    call Test_3.02056812
020588C0    lea esp,dword ptr ss:[esp+0x48]
020588C4  ^jnz Test_3.01FE5C41

下 BP VirtualProtect + 13 断点  --> F9 直到堆栈出现

0012F668   FFFFFFFF  |hProcess = FFFFFFFF
0012F66C   01D43000  |Address = Test_3.01D43000
0012F670   00024B54  |Size = 24B54 (150356.)
0012F674   00000002  |NewProtect = PAGE_READONLY
0012F678   0012FF98  \pOldProtect = 0012FF98

取消断点，查看内存窗口 --> 在 .text 段下内存访问断点，程序停在以下地方，删除内存断点

0209FB6C    xor al,byte ptr ds:[edx]  --> 跟网上找的教程类似
0209FB6E    push ebx                      -->
0209FB6F    push esp
0209FB70    call Test_3.020A0973      -->这 3 句跟教程不一样，F7跟进

                        ↓

020A0973    mov byte ptr ss:[esp+0x4],0xDE
020A0978    inc edx                                             ---> edx=004035EF
020A0979  ^jmp Test_3.020A0132

                        ↓

020A0132    dec dword ptr ss:[ebp]                  -->SS:[0012F794]=00000D98
020A0135    pushad
020A0136    lea esp,dword ptr ss:[esp+0x30]
020A013A  ^jnz Test_3.0209F3FC                    --->在这个地方 F4 步过
020A0140    push 0x5BB6FB7C               

在 .text 段下内存访问断点，程序还是一样停在 (在原地循环，跳不出验证)

0209FB6C    xor al,byte ptr ds:[edx]  --> 跟网上找的教程类似

------------------------->继续F7跟进到

020A013A  ^jnz Test_3.0209F3FC                    --->在这个地方 F4 步过
020A0140    push 0x5BB6FB7C       

在这里换个步骤；查看内存窗口，在.data 段下内存访问断点，程序停在 -->

0096B208    mov edi,edi                ---->很明显，像是VC++8.0入口的第一
0096B20A    push ebp                ---->个CALL，分析下，返回调用的地
0096B20B    mov ebp,esp                ---->方
0096B20D    sub esp,0x10
0096B210    mov eax,dword ptr ds:[0xC558CC]
0096B215    and dword ptr ss:[ebp-0x8],0x0
0096B219    and dword ptr ss:[ebp-0x4],0x0
0096B21D    push ebx
0096B21E    push edi

返回到调用这个 CALL 的地方，来到这个位置 --> (很明显的VC++8.0 入口)

0096AAAF   .  call Test_3.0096B208        -->在此处新建 EIP
0096AAB4   .^jmp Test_3.0096A7EF
0096AAB9      int3

0096A7EF   >push 0x58
0096A7F1   . push Test_3.00C0EFD8
0096A7F6   . call Test_3.0096AE50
0096A7FB   . xor ebx,ebx
0096A7FD   . mov dword ptr ss:[ebp-0x1C],ebx
0096A800   . mov dword ptr ss:[ebp-0x4],ebx
0096A803   . lea eax,dword ptr ss:[ebp-0x68]
0096A806   . push eax                                            ; /pStartupinfo
0096A807   . call dword ptr ds:[0xB1E11C]             ; \GetStartupInfoA

打开 LoadPE --> dump Test_3.exe进程....,试运行后 出现 004FBD4A 引用的 0016FC30 不能为READ

...

位置在以下代码；

004FBD3D   .  mov eax,dword ptr ss:[ebp]
004FBD40   .  pushfd
004FBD41   .  mov byte ptr ss:[esp],0x17
004FBD45   .  push 0xF53DA4D0
004FBD4A   .  mov eax,dword ptr ds:[eax]
004FBD4C   .  pushad
004FBD4D   .  mov byte ptr ss:[esp+0x4],dl
004FBD51   .  mov dword ptr ss:[ebp],eax

首次判断为 antidump .... 按 patch 方法 ，下 BP LocalAlloc +2，断下后，ALT+F9 返回到用户代

码

01FEA741    not si               
01FEA744    pushfd
01FEA745    mov ebx,eax
01FEA747    call Test_3.01FE5643
01FEA74C    push dword ptr ss:[esp+0x4]

--> EAX = 0016FFD8

SOD 申请内存,写入一段 patch，
       
pushad
push 40
push 3000
push 1000
push 0
call VirtualAlloc
cmp eax,400000
jb XXXXXXX
popad
nop
nop

之后从新 用LoadPE -->dump ,新建内存PATCH的区段，运行后还是出错。

问下各位大牛，我这样脱法正确么？那个错误是antidump？怎么解决？为什么那个入口跟断点后的特征
跟教程的差别很大...

附上软件地址：http://u.115.com/file/dnh7lykd#
Back.rar    8.76MB

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课