你认真学习别人的教程了没有？

几乎关于SDProtect脱壳的文章我都看了，感觉大家说的不是很通俗，对初学者来说有点困难！
比如--运行　UnhandleExceptionFilter　插件（每次运行脚本前都须先运行这个插件。原因不赘述，这里我就不明白，我运行这个插件。提示-ReadMeMory failed 错误，到这里就用不了脚本了，能教教我吗？谢谢

脚本未必就适合你的软件
关键是要学会自己手脱

一句老话：新手学习从简单的压缩壳开始

简单的压缩壳，UPX，ASPack，象这样的壳，有的脱壳机能脱，有的脱壳机脱不了，是什么原因啊！
脱不了的，就需要手动脱壳了吧

最初由 haosongyan 发布
简单的压缩壳，UPX，ASPack，象这样的壳，有的脱壳机能脱，有的脱壳机脱不了，是什么原因啊！
脱不了的，就需要手动脱壳了吧

脱壳机不是万能.手动才是硬道理~

to楼主:要一步一个脚印

只要认真看看教程应该没问题的。

今天看了适合初学者的文章，感觉受益非浅，一定认真学习

什么啊！---

入口被移走的代码：
00434644 >  55              PUSH EBP
00434645    8BEC            MOV EBP,ESP
00434647    6A FF           PUSH -1
00434649    68 80FC4300     PUSH 43FC80
0043464E    68 A2474300     PUSH 4347A2

入口被移走的代码：
00434644 >  55              PUSH EBP
00434645    8BEC            MOV EBP,ESP
00434647    6A FF           PUSH -1
00434649    68 80FC4300     PUSH 43FC80
0043464E    68 A2474300     PUSH 4347A2

我想问问，注册表加密要怎么修复啊，
还有自校验，应该在那里去除啊，

我现在也感觉自校验很讨厌-一时还真的找不到在哪里改

入口被移走的代码：
00434644 >  55              PUSH EBP
00434645    8BEC            MOV EBP,ESP
00434647    6A FF           PUSH -1
00434649    68 80FC4300     PUSH 43FC80
0043464E    68 A2474300     PUSH 4347A2

我是个初学者，想问个问题，请大家不要笑话，
我在用OD加载这个软件的时候最上面一行的地址是
00563000

而用W32Dasm反编译软件，最上面一行的地址是
00526000

根本没有找到
入口被移走的代码：
00434644 >  55              PUSH EBP
00434645    8BEC            MOV EBP,ESP
00434647    6A FF           PUSH -1
00434649    68 80FC4300     PUSH 43FC80
0043464E    68 A2474300     PUSH 4347A2

这些地址，请问，这是为什么啊！

00526000是壳的入口地址
434644是程序真正的入口地址

【下载地址】：http://www.jxwg.com/mir2/    (2511)
【操作系统】：WINXP

一、查找入口

var seh
var mess
//#log
eoe aman1
eob aman1
run
aman1:
add seh,1
log seh
cmp seh,a //第10次中断时跳转。
je stop1
esto

stop1:
coe
cob
mov seh,0
bp 5aff4c
esto
bc eip
mov !zf,1
sti
run
bp 5b0194 //子进程与父进程分流处。
esto
bc eip
mov eip,5b02a8 //直接跳过创建子进程，强行让父进程以子进程运行。
eoe aman2
eob aman2
run

aman2:
add seh,1
log seh
cmp seh,28  //我的好象是28 ,
je stop3
esto

stop3:
coe
cob
ret
运行脚本后，程序直接运行了。看LOG记录：

记录数据
地址       信息
           O11yDbg V1.10
           Asm2Clipboard PlugIn v0.1
             Written by FaTmiKE 2oo4
             I used code snippets from ExtraCopy PlugIn v1.0 by Regon
             ...so thanks to Regon for his great job!
           书签 - 示范插件 v1.06 (插件演示)
             版权所有 (C) 2001, 2002 Oleh Yuschuk
           CleanupEx v1.12.108  by Gigapede
           CommandBar v3.00.108
             Originary Written by Oleh Yuschuk  Modified by Gigapede  Contributors:TBD Wayne psyCK0 mfn
           命令行插件 V1.01
             作者：Oleh Yuschuk
           ExtraCopy plugin v0.90 by Regon

           GODUP ver 1.2 by godfather+ - Delphi edition

           Hide Caption v1.00  by Gigapede
           Hide Debugger <An error occurred>
           Hide Debugger v1.2
             Copyright (c) 2004 by Asterix
           IsDebugPresent plugin v1.4 (SV 2oo3)
           Labeler v1.31
           Labelmaster plugin v0.1
             Copyright (C) 2004 Joe Stewart
           LoadMap version 0.1 by lgx/iPB loaded
           MapConv ver 1.4 by godfather+, TBD and SHaG
           MemoryManage beta
             Copyright (C) 2004 pLayAr
             Any suggestion please mail to playar0709@21cn.net
           OllyDump v2.21.108  by Gigapede
           OllyHelper v1.3 by cygwin@smth
           OllyMachine v0.20
             Written by Luo Cong
             Compiled on Dec  7 2004 14:32:15
           OllyScript v0.92
             Written by SHaG
           OllyDbg PE Dumper  v3.01 by FKMA
           置顶显示插件 v1.0; 编译于 2002年4月21日 22:23:20 CET
             Copyright (C) 2002 Matthijs Laan <matthijsln@xs4all.nl>
           prince's TracKit plugin V1.10 (beta)
           Copyright (C) 2004-2005 prince
           Ultra String Reference v0.11
             Written by Luo Cong
             Compiled on Jul 27 2004 18:45:17
           WatchMan v1.00  by Gigapede
           WindowInfos plugin for Olly - v 0.1
           by DDM/FFF
           窗口工具 OD插件 v0.06 BETA
             Coded by EsseEmme
           Handle UnhandledExceptionFilter
           句柄异常过滤器
           正在扫描导入库：E:\UnPack\flyODBG\Lib\mfc71.Lib
             无法打开导入库
           正在扫描导入库：E:\UnPack\flyODBG\Lib\MFC42.Lib
             无法打开导入库

           文件 'E:\Documents and Settings\Administrator\桌面\Mir2Facility.exe'
           ID 00000850 的新进程已经创建
005AF000   ID 00000854 的主要线程已经创建
00400000   模块 E:\Documents and Settings\Administrator\桌面\Mir2Facility.exe
7C800000   模块 C:\WINDOWS\system32\kernel32.dll
7C920000   模块 C:\WINDOWS\system32\ntdll.dll
005AF000   程序入口点
             IsDebugPresent hidden
005AF07A   单步事件位于 Mir2Faci.005AF07A
           seh = 00000001
005B44FA   INT3 命令在 Mir2Faci.005B44FA
           seh = 00000002
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 00000003
77D10000   模块 C:\WINDOWS\system32\user32.dll
77EF0000   模块 C:\WINDOWS\system32\GDI32.dll
76300000   模块 C:\WINDOWS\system32\IMM32.DLL
77DA0000   模块 C:\WINDOWS\system32\ADVAPI32.dll
77E50000   模块 C:\WINDOWS\system32\RPCRT4.dll
62C20000   模块 C:\WINDOWS\system32\LPK.DLL
73FA0000   模块 C:\WINDOWS\system32\USP10.dll
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 00000004
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 00000005
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 00000006
005AF8F8   INT3 命令在 Mir2Faci.005AF8F8
           seh = 00000007
005AFB3A   INT3 命令在 Mir2Faci.005AFB3A
           seh = 00000008
005AFD54   单步事件位于 Mir2Faci.005AFD54
           seh = 00000009
005AFEFA   单步事件位于 Mir2Faci.005AFEFA
           seh = 0000000A
005AFF4C   中断在 Mir2Faci.005AFF4C
005B013D   单步事件位于 Mir2Faci.005B013D
005B0194   中断在 Mir2Faci.005B0194
005B0431   INT3 命令在 Mir2Faci.005B0431
           seh = 00000001
005B0673   INT3 命令在 Mir2Faci.005B0673
           seh = 00000002
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 00000003
005B0A35   单步事件位于 Mir2Faci.005B0A35
           seh = 00000004
005B44FA   INT3 命令在 Mir2Faci.005B44FA
           seh = 00000005
005B0CCA   INT3 命令在 Mir2Faci.005B0CCA
           seh = 00000006
005B0F0C   INT3 命令在 Mir2Faci.005B0F0C
           seh = 00000007
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 00000008
005B12AF   INT3 命令在 Mir2Faci.005B12AF
           seh = 00000009
005B150F   INT3 命令在 Mir2Faci.005B150F
           seh = 0000000A
005B21FF   访问违反： 写入到 [00000000]
005B23C3   INT3 命令在 Mir2Faci.005B23C3
           seh = 0000000B
005B2605   INT3 命令在 Mir2Faci.005B2605
           seh = 0000000C
005B44FA   INT3 命令在 Mir2Faci.005B44FA
           seh = 0000000D
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 0000000E
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 0000000F
005B29F4   访问违反： 读取 [FFFFFFFF]
005B2BCE   单步事件位于 Mir2Faci.005B2BCE
           seh = 00000010
005B44FA   INT3 命令在 Mir2Faci.005B44FA
           seh = 00000011
77BE0000   模块 C:\WINDOWS\system32\msvcrt.dll
76680000   模块 C:\WINDOWS\system32\WININET.dll
765E0000   模块 C:\WINDOWS\system32\CRYPT32.dll
76DB0000   模块 C:\WINDOWS\system32\MSASN1.dll
770F0000   模块 C:\WINDOWS\system32\OLEAUT32.dll
76990000   模块 C:\WINDOWS\system32\ole32.dll
77F40000   模块 C:\WINDOWS\system32\SHLWAPI.dll
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 00000012
77180000   模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 00000013
76B10000   模块 C:\WINDOWS\system32\WINMM.dll
73D30000   模块 C:\WINDOWS\system32\MFC42.DLL
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 00000014
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 00000015
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 00000016
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 00000017
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 00000018
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 00000019
61BE0000   模块 C:\WINDOWS\system32\MFC42LOC.DLL
7D590000   模块 C:\WINDOWS\system32\SHELL32.dll
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 0000001A
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 0000001B
5D170000   模块 C:\WINDOWS\system32\comctl32.dll
71A40000   模块 C:\WINDOWS\system32\WSOCK32.dll
71A20000   模块 C:\WINDOWS\system32\WS2_32.dll
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 0000001C
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 0000001D
005B2D33   单步事件位于 Mir2Faci.005B2D33
           seh = 0000001E
005B2ED4   单步事件位于 Mir2Faci.005B2ED4
           seh = 0000001F
005B48E2   单步事件位于 Mir2Faci.005B48E2
           seh = 00000020
005B308A   INT3 命令在 Mir2Faci.005B308A
           seh = 00000021
005B32D0   INT3 命令在 Mir2Faci.005B32D0
           seh = 00000022
005B3512   单步事件位于 Mir2Faci.005B3512
           seh = 00000023
005B36D3   INT3 命令在 Mir2Faci.005B36D3
           seh = 00000024
005B3919   INT3 命令在 Mir2Faci.005B3919
           seh = 00000025
005B3C00   INT3 命令在 Mir2Faci.005B3C00
           seh = 00000026
005B3E46   INT3 命令在 Mir2Faci.005B3E46
           seh = 00000027
005B407A   单步事件位于 Mir2Faci.005B407A
           seh = 00000028

当程序第28次中断后
005B407A    64:8F00   pop dword ptr fs:[eax]  ///停在这里。                            ; 0012FFE0
005B407D    5B        pop ebx
005B407E    E8 010000>call Mir2Faci.005B4084
005B4083    FF58 05   call far fword ptr ds:[eax+5]
005B4086    6BFF FF   imul edi,edi,-1
005B4089    FF80 38E9>inc dword ptr ds:[eax+8775E938]
005B408F    C600 E8   mov byte ptr ds:[eax],0E8
005B4092    9D        popfd
005B4093    61        popad
005B4094    C3        retn

在005B407E处F7后，代码如下：

005B4084     58                   pop eax         ; Project2.004F4083
005B4085     05 6BFFFFFF          add eax,-95
005B408A     8038 E9              cmp byte ptr ds:[eax],0E9///单步跟踪检测。
005B408D   ^ 75 87                jnz short 004F4016  ///不能跳。修改标志位不让跳转。
005B408F     C600 E8              mov byte ptr ds:[eax],0E8///恢复代码。
005B4092     9D                   popfd
005B4093     61                   popad
005B4094     C3                   retn///返回。

0047ED53     C3                   retn///连续60个左右retn
                     
004C5222    0000      add byte ptr ds:[eax],al ?  ? 这里是入口点?
004C5224    0000      add byte ptr ds:[eax],al
004C5226    0000      add byte ptr ds:[eax],al
004C5228    E8 44610F>call Mir2Faci.005BB371   ///   所有retn后到这里
004C522D    8BE0      mov esp,eax
004C522F    9D        popfd
004C5230    61        popad
004C5231    64:A1 000>mov eax,dword ptr fs:[0]
004C5237    50        push eax
004C5238    64:8925 0>mov dword ptr fs:[0],esp
004C523F    83EC 68   sub esp,68
004C5242    53        push ebx
004C5243    56        push esi
004C5244    57        push edi
004C5245    8965 E8   mov dword ptr ss:[ebp-18],esp
004C5248    33DB      xor ebx,ebx
004C524A    895D FC   mov dword ptr ss:[ebp-4],ebx
004C524D    6A 02     push 2
004C524F    FF15 9C6D>call dword ptr ds:[4D6D9C]                          ; msvcrt.__set_app_type
004C5255    59        pop ecx
004C5256    830D 8416>or dword ptr ds:[511684],FFFFFFFF
004C525D    830D 8816>or dword ptr ds:[511688],FFFFFFFF
004C5264    FF15 986D>call dword ptr ds:[4D6D98]                          ; msvcrt.__p__fmode
004C526A    8B0D 7816>mov ecx,dword ptr ds:[511678]
004C5270    8908      mov dword ptr ds:[eax],ecx

到这后，用ONLLY DUMP插件'脱壳当前调试的进程',把握个区都改为读,写,共享,包含代码,数据,然后点'脱壳'。提示[[不能读4000000
---5ACFFFF的地址]]

卡壳了,哈哈
请指点

谢谢，朋友指教

请问要怎么能到达程序的真正入口

教程里面写得很清楚了

你的教程我看了好几遍了,能给点具体的钟队我脱的程序给点指导吗?哈哈小弟是新手请你别烦

精彩，但是最后的问题好象大家没有帮助的资料啊！

入口代码被移走了，找到入口代码补上就行了。

入口被移走的代码：
00434644 >  55              PUSH EBP
00434645    8BEC            MOV EBP,ESP
00434647    6A FF           PUSH -1
00434649    68 80FC4300     PUSH 43FC80
0043464E    68 A2474300     PUSH 4347A2

434644是程序真正的入口地址
请问，要怎么能到达这个入口，
IAT的RAV的大小是多少？

to 16楼的兄弟：

004C5222 >  55              PUSH EBP　//入口代码
004C5223    8BEC            MOV EBP,ESP
004C5225    6A FF           PUSH -1
004C5227    68 C0314E00     PUSH 4E31C0
004C522C    68 80534C00     PUSH 4C5380
004C5231    64:A1 00000000  MOV EAX,DWORD PTR FS:[0]
004C5237    50              PUSH EAX
004C5238    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
004C523F    83EC 68         SUB ESP,68
004C5242    53              PUSH EBX
004C5243    56              PUSH ESI
004C5244    57              PUSH EDI
004C5245    8965 E8         MOV DWORD PTR SS:[EBP-18],ESP

楼上的朋友，你曾经是15楼说过
00526000是壳的入口地址
434644是程序真正的入口地址

现在你又说，
004C5222 >  55              PUSH EBP　//入口代码
004C5223    8BEC            MOV EBP,ESP
004C5225    6A FF           PUSH -1
004C5227    68 C0314E00     PUSH 4E31C0
004C522C    68 80534C00     PUSH 4C5380
004C5231    64:A1 00000000  MOV EAX,DWORD PTR FS:[0]
004C5237    50              PUSH EAX
004C5238    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
004C523F    83EC 68         SUB ESP,68
004C5242    53              PUSH EBX
004C5243    56              PUSH ESI
004C5244    57              PUSH EDI
004C5245    8965 E8         MOV DWORD PTR SS:[EBP-18],ESP

我没有弄明白啊！