我猜是armadillo

但运行起来只有一个进程
另外男蛮妈妈怎么估计是Arm呢，我看不出来一点相似的地方，能说说吗

我乱猜的

最初由 南蛮妈妈 发布
我乱猜的

有意思，我喜欢

从后来申请的内存段来看，有些象Asprotect，因为从1400000到24F0000这一段里申请了几十个小内存块，很象Asprotect的stole code的方式，请问Asprotect有什么直接特征来识别吗？

PEiD V0.94可以识别Asprotect

最初由 fly 发布
PEiD V0.94可以识别Asprotect

多谢版主，不过我用的就是PEiD v0.94，hardcore扫描也是nothing，我现在只是觉得这个壳和以前看过的Asprotect在申请内存上比较相似，而且在OD中调试时很容易找到IAT，这和Asprotect 2.x未处理IAT时很象。另外，程序中函数调用时的参数传递方式是fastcall，所以程序应该是Delphi或者CB写的。无论是用ESP定律还是内存断点都无法找到OEP，请版主指正一下现在我应该向那个方向考虑？

我怎么看像是热血宝贝啊

04745060 >  60               pushad    //入口处
04745061    90               nop
04745062    E8 00000000      call RXBBv1_4.04745067
04745067    5D               pop ebp
04745068    81ED F41D4000    sub ebp,401DF4
0474506E    B9 E3090000      mov ecx,9E3
04745073    8DBD 3C1E4000    lea edi,dword ptr ss:[ebp+401E3C]
04745079    8BF7             mov esi,edi
0474507B    AC               lods byte ptr ds:[esi]
0474507C    90               nop
0474507D    EB 01            jmp short RXBBv1_4.04745080
0474507F  - E9 EB01C204      jmp 0936526F
04745084  ^ E0 90            loopdne short RXBBv1_4.04745016
04745086    EB 01            jmp short RXBBv1_4.04745089
04745088  - E9 C0C0F704      jmp 096C114D
0474508D    2E:2AC1          sub al,cl
04745090    02C1             add al,cl
04745092    34 48            xor al,48
04745094    F8               clc
04745095    FEC8             dec al
04745097    EB 01            jmp short RXBBv1_4.0474509A
04745099    C2 2AC1          retn 0C12A
0474509C    2C 7F            sub al,7F
0474509E    F8               clc
0474509F    C0C8 94          ror al,94
047450A2    F9               stc

最初由 刀影飞舞 发布
我怎么看像是热血宝贝啊

04745060 > 60 pushad //入口处
04745061 90 nop
04745062 E8 00000000 call RXBBv1_4.04745067
........

是，因为是国内的软件，就不好意思写明了，说不定还是论坛上那位的大作。

楼主欠揍

最初由 Themida 发布
楼主欠揍

不必这样吧，只是想看看罢了，唉

我猜是hying

既然都说白了直接给个地址啦.

关注中..........
我找到这个软件了,我也很想知道应该怎么办

破外挂不一定要脱壳。真是

....高见.我见过个高手,他就是不脱壳的,直接写本地验证.但是没这方面教程啊.鸡蛋有教程吗.教教