OD载入程序 选择忽略所有异常.隐藏OD,调试选项 sfx ,选择字节模式跟踪 F9运行 停在程序的OEP ,OD插件DUMP,程序可以正常运行!!!
0042D9DC > BB D0014000 mov ebx,exe32pac.004001D0//入口
0042D9E1 BF 00104000 mov edi,exe32pac.00401000
0042D9E6 BE 30444200 mov esi,exe32pac.00424430
0042D9EB 53 push ebx
0042D9EC BB 6BDA4200 mov ebx,exe32pac.0042DA6B
0042D9F1 B2 80 mov dl,80
0042D9F3 A4 movs byte ptr es:[edi],byte ptr ds:[es>
0042D9F4 B6 80 mov dh,80
0042D9F6 FFD3 call ebx
F9运行
00407F0E 6A 18 push 18 ; SFX 代码真实入口点//OEP;;
00407F10 68 70F64000 push exe32pac.0040F670
00407F15 E8 26190000 call exe32pac.00409840
00407F1A BF 94000000 mov edi,94
00407F1F 8BC7 mov eax,edi
00407F21 E8 BA010000 call exe32pac.004080E0
00407F26 8965 E8 mov dword ptr ss:[ebp-18],esp
00407F29 8BF4 mov esi,esp
00407F2B 893E mov dword ptr ds:[esi],edi
00407F2D 56 push esi
00407F2E FF15 58F04000 call dword ptr ds:[40F058] ; kernel32.GetVersionExA
本人是个菜鸟,偶尔发现 ,这个是FSG1.3X的壳 .这种方法可以找N中壳的OEP,
夜凉如水[BCG]
[课程]FART 脱壳王!加量不加价!FART作者讲授!