用peid查为ASPack 2.12 -> Alexey Solodovnikov [Overlay]
用各种工具脱壳后均无法运行，也无法重建IAT
OD跟踪如下
0041C001 >  60              pushad
0041C002    E8 03000000     call    0041C00A
0041C007  - E9 EB045D45     jmp     459EC4F7
0041C00C    55              push    ebp
0041C00D    C3              retn
..........
0041C3AF    61              popad
0041C3B0    75 08           jnz     short 0041C3BA
0041C3B2    B8 01000000     mov     eax, 1
0041C3B7    C2 0C00         retn    0C
0041C3BA    68 30954100     push    00419530
0041C3BF    C3              retn

00419530   ?  60            pushad
00419531   .  BE 00104100   mov     esi, 00411000
00419536   ?  8DBE 0000FFFF lea     edi, dword ptr [esi+FFFF0000]

为什会有2个pushad
esp 值均为 0012FFA4
如何正确脱壳？

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！