看了前面很多关于EncryptPE的文章,发现竟然没有2004.8.10版的脱壳,有的是services的,有的用的是2003.3.14的(里面竟然不用explorer,直接用一个OD就把壳给脱掉!);有的附加到explorer进程上,但需要显示出注册对话框才附加到explorer进程中的;刚好我这个程序只有45分钟使用时间限制,岂不是要等45分钟才能把它脱了？

我想问的是EncryptPE调用V2200481.EncryptPE_Init，然后SetHook，然后SendMessageA之前，我把另一个od附加到explorer进程上，再在EncryptPE的OD上按F9运行。
explorer究竟在里面干了些什么？有的人说是解压程序，修改zwOpenProcess函数,然后CreateProcess.....等等，能否说点大概给小弟参考参考？
假如explorer中断在下面程序段中：
711B07AC    50              push eax
711B07AD    8B85 1CFFFFFF   mov eax,dword ptr ss:[ebp-E4]
711B07B3    50              push eax
711B07B4    E8 B766F7FF     call V2200481.71126E70                             ; jmp to kernel32.ContinueDebugEvent
711B07B9    6A FF           push -1
711B07BB    8D85 18FFFFFF   lea eax,dword ptr ss:[ebp-E8]
711B07C1    50              push eax
711B07C2    E8 796AF7FF     call V2200481.71127240                             ; jmp to kernel32.WaitForDebugEvent
711B07C7    85C0            test eax,eax
711B07C9  ^ 0F85 89F3FFFF   jnz V2200481.711AFB58
711B07CF    837D FC 00      cmp dword ptr ss:[ebp-4],0
711B07D3    76 09           jbe short V2200481.711B07DE
711B07D5    8B45 FC         mov eax,dword ptr ss:[ebp-4]
究竟何时才解压完成？如果它在CreateProcess上，是中断得迟了还是早了

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！