====之后按56次F9=== 还是麻烦的说

看下面

OD载入，然后
bp GetVersion，F9一次，F2一次，alt+F9一次，lordPE脱壳
OEP:  ，imprec自动搜索，修复好就可以运行了

技术不到家学习～～～～

鼓励一下。

最初由 闪电狼 发布
====之后按56次F9=== 还是麻烦的说

看下面


........

56次还是多了点~万一一不留神多数，少数一次就又得重新来了~

还是。。狼的这个方法漂亮啊~

最初由 wynney 发布


56次还是多了点~万一一不留神多数，少数一次就又得重新来了~

还是。。狼的这个方法漂亮啊~

不过我的是脱主程序的方法

至于其他被加壳程序

用esp定律就到OEP了

闪电狼，我按照你的方法把主程序进行脱壳，之后无法运行提示maxzlib.dll没有启动，程序无法运行。

★★★★★★nSpack2.3主程序简单脱壳.★★★★★★

OD载入忽略所有异常
bp GetVersion
F9

7C8114AB >  64:A1 18000000   mov eax,dword ptr fs:[18]
//断在这里. 看堆栈
7C8114B1    8B48 30          mov ecx,dword ptr ds:[eax+30]
7C8114B4    8B81 B0000000    mov eax,dword ptr ds:[ecx+B0]

堆栈:
0012FF48   0044B994  nSpack_o.0044B994  
//在这里就可以返回程序领空了.
0012FF4C   7C930738  ntdll.7C930738
0012FF50   FFFFFFFF
0012FF54   7FFDE000
0012FF58   00496769  nSpack_o.00496769

F2取消断点. ALT+F9返回  

0044B968  /> /55             push ebp
//★★★OEP★★★
0044B969  |. |8BEC           mov ebp,esp
0044B96B  |. |6A FF          push -1
0044B96D  |. |68 18FE4600    push nSpack_o.0046FE18
0044B972  |. |68 E0A24400    push nSpack_o.0044A2E0               ;  SE 句柄安装
0044B977  |. |64:A1 00000000 mov eax,dword ptr fs:[0]
0044B97D  |. |50             push eax
0044B97E  |. |64:8925 000000>mov dword ptr fs:[0],esp
0044B985  |. |83EC 58        sub esp,58
0044B988  |. |53             push ebx
0044B989  |. |56             push esi
0044B98A  |. |57             push edi
0044B98B  |. |8965 E8        mov [local.6],esp
0044B98E  |. |FF15 70A24600  call dword ptr ds:[46A270]           ;  kernel32.GetVersion
0044B994  |. |33D2           xor edx,edx
//★返回到这里......

运行loadpe  完全Dump程序..打开RecImport选取软件,填入OEP,自动IAT,获取输入表
修复....

然后根据FLY的方法去掉自检验 即可..

★★★★★★★nSpack2.3加壳普通程序脱壳方法★★★★★★★★

OD加入 忽略所有异常选项..

0040101B > $- E9 3ECD0000    jmp [PYG]Cra.0040DD5E
//停在这里.
00401020      B4             db B4
00401021      09             db 09

F8  3次.

0040DD5E    9C               pushfd
0040DD5F    60               pushad
0040DD60    E8 00000000      call [PYG]Cra.0040DD65
//停在这里. 这是esp = 0012FFA0
0040DD65    5D               pop ebp
0040DD66    B8 07000000      mov eax,7

在命令行 hr 0012FFA0
F9
断下
0040DFD7    9D               popfd
//断在这里
0040DFD8  - E9 9F32FFFF      jmp [PYG]Cra.0040127C

取消硬件断点
F8 2次

00401274   .- FF25 A8104000  jmp dword ptr ds:[4010A8]            ;  MSVBVM60.ThunRTMain
0040127A      00             db 00
0040127B      00             db 00
0040127C      68             db 68                                ;  CHAR 'h'
//到这里★OEP★
0040127D      D0524000       dd [PYG]Cra.004052D0
00401281      E8             db E8
00401282      EE             db EE
00401283      FF             db FF

运行loadpe  完全Dump程序..打开RecImport选取软件,填入OEP,自动IAT,获取输入表
修复....

可以运行了.

谢谢指点，我昨天脱的时候也是判断可能有自效验，准备今天来处理的，谢谢你告诉了我快捷的方法。

蛋蛋的破解方法

去自校验:
脱壳后查找16进制:
8B C2 5F 5E 5B 0F 94 C0 59 C3 5F 5E 33 C0 5B 59
替换:
8B C2 5F 5E 5B 0F 94 C0 59 C3 5F 5E B0 01 5B 59

注册:
脱壳后查找16进制:
E8 9B 2E 01 00 85 C0 0F 84 6A 01 00 00 8B 5C 24
替换:
E8 9B 2E 01 00 85 C0 0F 84 D9 03 00 00 8B 5C 24

蛋蛋破解无壳去垃圾版:
附件:nSpack203.rar