脱了壳用zpfixer 修复IAT的时候，进程总是终止，后来看咱们的帖子说有DLL模拟，

用了大牛们的法子不行。

1、hr esp  //在pushad下一行先下ESP定律

2、BP CreateFileA  ///F9运行一次

3、BP GetModuleHandleA //F9运行一次///取消第二步和第三步的断点///ALT+F9返回//往上翻一点，找到CMP[],EBX处　　就是在这里没有找到相关的东西。　还有就是GETModulehandlea断点还是断在了CreateFileA下。那我第二步是要断一次还是要两次呢。

在堆栽处右键把值清0

F9运行，单步到OEP，然后开始修复IAT，再DUPACK出来，修复，搞定了。

Alt＋Ｆ９返回的是这里

0129060B    3B59 E9         cmp ebx,dword ptr ds:[ecx-0x17]
0129060E    20FC            and ah,bh
01290610    FFFF            ???                                      ; 未知命令
01290612    0060 77         add byte ptr ds:[eax+0x77],ah
01290615    1881 6085F668   sbb byte ptr ds:[ecx+0x68F68560],al
0129061B    7E 10           jle X0129062D
0129061D    CD 13           int 0x13
0129061F  ^ E9 DCF9FFFF     jmp 01290000
01290624    1050 E8         adc byte ptr ds:[eax-0x18],dl
01290627    E5 09           in eax,0x9
01290629    F9              stc
0129062A    FF68 50         jmp Xfword ptr ds:[eax+0x50]
0129062D    11CD            adc ebp,ecx
0129062F    13E9            adc ebp,ecx
01290631    CB              retf
01290632    F9              stc
01290633    FFFF            ???                                      ; 未知命令
01290635    108D 44241068   adc byte ptr ss:[ebp+0x68102444],cl
0129063B    68 0ECD13E9     push 0xE913CD0E
01290640    BC F9FFFF14     mov esp,0x14FFFFF9
01290645    8BFF            mov edi,edi
01290647    D6              salc
01290648    E9 17010000     jmp 01290764　　　返回到这里，往上没有那么找到那个。还是那个代码离的还远。

求分析

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开 发者可享99元/年，续费同价！