前几天练手脱壳，找了这么个软件。。淘金币全额监控3.3。
PEiD查壳  ：UPX -> www.upx.sourceforge.net *
                  EP段： UPX1
本以为很容易！！！
OD载入后试着找OEP

00576C65    8D4424 80       lea eax,dword ptr ss:[esp-0x80]  //利用ESP断到这
00576C69    6A 00           push 0x0                                           |
00576C6B    39C4            cmp esp,eax                                      |
00576C6D  ^ 75 FA           jnz X淘金币全.00576C69                   |   //这4句看着很奇怪啊
00576C6F    83EC 80         sub esp,-0x80                                  |
00576C72  ^ E9 B5C3FFFF     jmp 淘金币全.0057302C               //这个按说就该到OEP了

单步过去一看：
0057302C    F8              clc                                                       //不认识的程序头！！
0057302D    EB 0B           jmp X淘金币全.0057303A
0057302F    17              pop ss
00573030    C165 FD 5A      shl dword ptr ss:[ebp-0x3],0x5A
00573034    C52F            lds ebp,fword ptr ds:[edi]
00573036    5B              pop ebx
00573037    4B              dec ebx
00573038    1033            adc byte ptr ds:[ebx],dh
0057303A    60              pushad
0057303B    73 09           jnb X淘金币全.00573046

不管了。。脱出来试试~~~~

脱壳后的程序用
PEiD查壳 变成 ：yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *

程序可以运行，但会提示“文件被修改”退出了。肯定有自检验暗桩。
OD载入后还是提示是压缩过的程序。。

最雷人的是这个程序的注册吗可以用WinHex在内存中找到，竟然是明码比较的。
加壳搞的这么麻烦，对比注册却偷工减料。。

求助高手帮忙看看。。最好能给我讲讲这个壳是怎么回事，那个是不是真的OEP。。
这里先谢谢了~~

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

• 淘金币全额监控3.3.rar （513.57kb，13次下载）