下 VirtualProtectEx断点
运行到直到出现两次NewProtect = PAGE_READONLY
在code段下f2断点 停在
0070659F    3202            xor al,byte ptr ds:[edx]
007065A1    66:892424       mov word ptr ss:[esp],sp
007065A5    42              inc edx
007065A6  ^ E9 42DDFFFF     jmp nxprun.007042ED
007065AB    E8 17DCFFFF     call nxprun.007041C7
007065B0    66:8945 06      mov word ptr ss:[ebp+0x6],ax
007065B4    E8 2CECFFFF     call nxprun.007051E5
007065B9    9C              pushfd
007065BA    66:891424       mov word ptr ss:[esp],dx
007065BE    896C24 08       mov dword ptr ss:[esp+0x8],ebp
007065C2    9C              pushfd
007065C3    60              pushad
007065C4    66:894C24 08    mov word ptr ss:[esp+0x8],cx

到data段再下断点 停留在
00406DB0    53              push ebx
00406DB1    8BD8            mov ebx,eax
00406DB3    33C0            xor eax,eax
00406DB5    A3 A4104D00     mov dword ptr ds:[0x4D10A4],eax
00406DBA    6A 00           push 0x0
00406DBC    E8 2BFFFFFF     call nxprun.00406CEC                     ; jmp 到 kernel32.GetModuleHandleA
00406DC1    A3 68464D00     mov dword ptr ds:[0x4D4668],eax
00406DC6    A1 68464D00     mov eax,dword ptr ds:[0x4D4668]
00406DCB    A3 B0104D00     mov dword ptr ds:[0x4D10B0],eax
00406DD0    33C0            xor eax,eax
00406DD2    A3 B4104D00     mov dword ptr ds:[0x4D10B4],eax
00406DD7    33C0            xor eax,eax
00406DD9    A3 B8104D00     mov dword ptr ds:[0x4D10B8],eax
00406DDE    E8 C1FFFFFF     call nxprun.00406DA4
00406DE3    BA AC104D00     mov edx,nxprun.004D10AC
00406DE8    8BC3            mov eax,ebx
00406DEA    E8 89D7FFFF     call nxprun.00404578
00406DEF    5B              pop ebx

这应该是OEP了吧
zeus脱也是停留在这个位置。
这个程序估计只是vmp的默认保护 无vm段 api无vm.
但是为什么dump出来就不可以运行呢？
然后import修复时候API如下：
tlssetvalue
tlsgetvalue
localalloc
这样是不是修复不了iat
请各位大哥帮帮我。谢谢
附件下载：http://powerbasic.u.qiniudn.com/unpackme.rar

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！