我也在看这个壳，不过最近几个月都在打游戏，没心情看帖子。建议你看这贴里面讲到的几个帖子。
http://bbs.pediy.com/showthread.php?t=20366
最后一个是讲4.40的帖子fly写的。前几个帖子讲的比较细是基础，讲的是调试进程，WaitForDebugEvent之后比较几个调试值，然后分别处理，找一个WINNT.H看看80000003之类的是什么类型。其中PAGE_GUARD就会来修改子进程的内容了。一共几十个页面，解密和加密。子进程的第一条指令触发这个调试事件，然后就要在WriteProcessMemory的时候找到oep改成EB FE让子进程停着，同时分离2个进程，然后用od挂上子进程，就会发现能跑但是有int 3。od里面看父进程有很多花指令，都是无用的，处理一下改成nop，然后写个脚本消除nop就能在ida里面看这个call了。最先的教程是这样强制解密，阻止重新加密的，同时好像还有个crc校验。fly和hexer的那个脚本，则是进入父进程直接就分离，然后用od挂上子进程，帖子里面说能直接解密所有页面。子进程和父进程的分歧就是那个Mutex函数。之后就是保存IAT的操作了，能跟着脚本看出来。再后面的就是把乱序的IAT弄回去。去年的时候就弄到这里就放弃了，没有跟出来怎么找到这个地方的你可以看看他patch2个地方。然后后面的部分在xp上好像不行，好像是2000的。之后就是cc的处理，又有新的讲解，原理比较简单处理很麻烦搜一下nanomites。这种双进程的壳好复杂，老是一按错，就得重新。

以上的教程都很详细，我一定要认真的学习！

学脱壳 千万 不能百分之百 照着视频来，
OD版本不同，设置不同，安装的插件不同……等等吧，还有安装的系统不同，存在着千丝万缕的异样——
即使你照着搞同样的结果也未必一样，变通才能必胜，俺也是一点体会而已。

模仿，摸索，学习，融会贯通，这是跳不过的一个坎！

这些因环境而已的问题我也了借了一些，谢谢提醒！