虚心学习
00DF0781    C601 BE          MOV BYTE PTR DS:[ECX], 0BE
00DF0784    64:97            XCHG EAX, EDI
00DF0786    41               INC ECX
00DF0787    F3:              PREFIX REP:
00DF0788    96               XCHG EAX, ESI

Ctrl+B
搜 83 C4 2C 5D 5F 5E 5B C3
找到这
00DEFBDD    C600 E3          MOV BYTE PTR DS:[EAX], 0E3
00DEFBE0    8D5424 08        LEA EDX, DWORD PTR SS:[ESP+8]
00DEFBE4    A1 2CB6DF00      MOV EAX, DWORD PTR DS:[DFB62C]
00DEFBE9    E8 7695FFFF      CALL 00DE9164
00DEFBEE    E8 3160FFFF      CALL 00DE5C24
00DEFBF3    8BC6             MOV EAX, ESI
00DEFBF5    E8 1A30FDFF      CALL 00DC2C14
00DEFBFA    E8 B5D0FFFF      CALL 00DECCB4
00DEFBFF    83C4 2C          ADD ESP, 2C
00DEFC02    5D               POP EBP
00DEFC03    5F               POP EDI
00DEFC04    5E               POP ESI
00DEFC05    5B               POP EBX
00DEFC06    C3               RETN
00DEFC07    90               NOP
00DEFC08    E8 9BFDFFFF      CALL 00DEF9A8
00DEFC0D    C3               RETN
00DEFC0E    8BC0             MOV EAX, EAX

下断he 00DEFBFA
Ctrl+F2 设忽略内存访问异常
按F9 程序直接运行了

试了几个版本的OD
也试过原版 + IsDebug 插件 同样情况
xp sp2 2003 下同样

看到syscom兄图文并茂的教程,太好了
可是我和freecat的情况一样,断不下来:(
是不是syscom兄的ollydbg和我们不同的原因?

最初由 freecat 发布
虚心学习
00DF0781 C601 BE MOV BYTE PTR DS:[ECX], 0BE
00DF0784 64:97 XCHG EAX, EDI
00DF0786 41 INC ECX
00DF0787 F3: PREFIX REP:
........

me to

能断下的前提是在运行前的那个异常处开始跟踪  

好像LOVEBOOM的一篇文章中有说明。

跑飞。。。。。。。

幕后有 Softice + iceext ?

OD载入,不忽略内存访问异常,最后一次异常时候BP CALL XXXXXXX,F9,可以断下,马上取消断点.

最初由 okdodo 发布
能断下的前提是在运行前的那个异常处开始跟踪

好像LOVEBOOM的一篇文章中有说明。

是这样！是哪篇文章？
多谢

的确可以断下
只是楼主的图帖得有点问题
不知道是故意而为之呢。。。

没有什么特别，只是加密时选择了anti-debug而已
打开int 3异常，异常发生后，shift+f9一次，然后查找add esp,2c,
找到后直接在上面的call address处F4,f7进入,再ctrl+f9执行到返回就行了

请问一下，该如何修复？
看了N篇文章，还是没有看懂如何修复IAT

对了!
loveboom兄的下面签名说什么
请不要发邮件到我信箱中是不是
有种此地无银三百两的感觉?