脱ZProtect1.41

   先用PEID查下，ZP1.4X的，载入OD。

0049F957 >  8D84C0 00010401 lea     eax, dword ptr [eax+eax*8+104010>

0049F95E  ^ E9 45FCFFFF     jmp     0049F5A8

   先单步跟踪，来到这里。

0049F8E1    E8 02000000     call    0049F8E8

0049F8E6    F7              ???                                      ; 未知命令

0049F8E7    0D 8704248D     or      eax, 8D240487

0049F8EC    8055 02 00      adc     byte ptr [ebp+2], 0

0049F8F0    0087 0424E942   add     byte ptr [edi+42E92404], al

0049F8F6    0200            add     al, byte ptr [eax]

CALL下面就是个？？？当然应当F7步入。在经过JMP来到了

0049FB3B    60              pushad             //可以用ESP了

0049FB3C    E9 7D000000     jmp     0049FBBE

0049FB41    DF97 89442410   fist    word ptr [edi+10244489]

0049FB47    E9 4B010000     jmp     0049FC97

0049FB4C    EE              out     dx, al

0049FB4D    0F85 BA000000   jnz     0049FC0D

0049FB53  ^ E9 CEFBFFFF     jmp     0049F726

0049FB58    897C24 1C       mov     dword ptr [esp+1C], edi

0049FB5C  ^ E9 88FBFFFF     jmp     0049F6E9

步过0049FB3B，命令栏 HR ESP

然后F9运行。

00B123F9  ^\E9 CEFCFFFF     jmp     00B120CC

00B120CC    C3              retn

到达OEP了~~

0047C6BC    55              push    ebp

0047C6BD    8BEC            mov     ebp, esp

0047C6BF    83C4 F0         add     esp, -10

0047C6C2    B8 E4C44700     mov     eax, 0047C4E4

0047C6C7    E8 68A1F8FF     call    00406834

0047C6CC    A1 F0E24700     mov     eax, dword ptr [47E2F0]

0047C6D1    8B00            mov     eax, dword ptr [eax]

0047C6D3    E8 3043FEFF     call    00460A08

0047C6D8    A1 F0E24700     mov     eax, dword ptr [47E2F0]

0047C6DD    8B00            mov     eax, dword ptr [eax]

[注意]看雪招聘，专注安全领域的专业人才平台！