脱eXcalibur
  这次脱的是一款截图软件。   
  首先用PEID查下。Excalibur 1.03 -> forgot *
  OD载入，原来我用OLLYICE调试时，一直有问题，推荐用吾爱破解及其他版的
004B2000 > /E9 00000000     jmp dumped.004B2005
004B2005   \60              pushad
004B2006    E8 14000000     call dumped.004B201F
004B200B    5D              pop ebp
004B200C    81ED 00000000   sub ebp,0x0
004B2012    6A 45           push 0x45
004B2014    E8 A3000000     call dumped.004B20BC
004B2019    68 00000000     push 0x0
004B201E    E8 5861EB39     call 3A36817B

步过004B2005后HR ESP  F9运行
004B2021   /EB 39           jmp short dumped.004B205C
  单步一下，

004B205C    60              pushad
004B205D    9C              pushfd
004B205E    9C              pushfd
004B205F    6A 63           push 0x63
004B2061    73 0B           jnb short dumped.004B206E
004B2063    EB 02           jmp short dumped.004B2067
  再次F9

004B2043    9D              popfd
004B2044    61              popad
004B2045    E8 15000000     call dumped.004B205F
004B204A    E8 E80F0000     call dumped.004B3037
下面就只好单步走了。。。
中间会出现代码混乱，删除分析就OK了
然后接着单步走

0046AC7D  ^\E9 4F15FEFF     jmp dumped.0044C1D1

跳转到OEP了~~   注意：此时别滑动鼠标滑轮，不然代码会变形，具有一定迷惑性。

0046AC79    E8 418E0DE9     call E9543ABF
0046AC7E    4F              dec edi
0046AC7F    15 FEFF8BCB     adc eax,0xCB8BFFFE

这就是动了滑轮后，变形的代码。。。
然后开始脱壳，这个貌似有点怪，我用OLLYDUMP脱，但是脱完后按钮上面不显示文字
用LORDPE脱，一切正常。
由于并没有IAT加密，没经过IR修复也能正常使用~~~
OK~!到此就全部搞定了~！

另附上该软件 dumped.rar

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

• dumped.rar （295.16kb，3次下载）