用loadpe，修正大小，完全dump，然后用im修复，依然运行报错，我汗～～～

停在OEP时dump

swordkok的系统平台、OllyDBG、OllyScript是什么版本
我在 WinXP SP2/Win2K 平台上测试修改的脚本没问题

脱壳时可以用VMware安装个干净的虚拟系统测试

我的是WIN2K平台，OLLYDBG是1.10 cao_cong 汉化2版，ollyscript版本是0.92的
脚本就是找不到入口，用另外一台2003也试过，情况一样。。。

我只好直接运行加壳程序再用LOADPE DUMP，估计问题就出在这里

干净系统+原版OllyDBG看看
另外看看脚本的log，哪里出错了

文件 'C:\Documents and Settings\Administrator\桌面\QQ_FOR_MMOG\QQ_FOR_MMOG.exe'
           ID 00000448 的新进程已创建
005176ED   ID 000004B4 的主线程已创建
00400000   模块 C:\Documents and Settings\Administrator\桌面\QQ_FOR_MMOG\QQ_FOR_MMOG.exe
77E60000   模块 C:\WINNT\system32\Kernel32.dll
77F80000   模块 C:\WINNT\system32\ntdll.dll
005176ED   程序入口点
           --> dbh
           --> var T0
           --> var T1
           --> var T2
           --> var T3
           --> var T4
           --> gpa "GetVersion", "KERNEL32.dll"
           --> eob GetVersion
           --> bp $RESULT
           --> esto
0051779E   INT3 命令位于QQ_FOR_M.0051779E
0051779E   INT3 命令位于QQ_FOR_M.0051779E
005177E1   INT3 命令位于QQ_FOR_M.005177E1
005177E1   INT3 命令位于QQ_FOR_M.005177E1
0051778B   INT3 命令位于QQ_FOR_M.0051778B
005183BB   INT3 命令位于QQ_FOR_M.005183BB
77DF0000   模块 C:\WINNT\system32\User32.dll
77F40000   模块 C:\WINNT\system32\GDI32.dll
75E00000   模块 C:\WINNT\system32\IMM32.DLL
796D0000   模块 C:\WINNT\system32\ADVAPI32.DLL
77E80CD1   断点位于 Kernel32.GetVersion
           --> GetVersion:
           --> jne GoOn0
           --> bc $RESULT
           --> rtu
           --> mov eax,4
           --> mov [$RESULT], #B804000000C3#
           --> gpa "GetWindowLongA", "User32.dll"
           --> eob GetWindowLongA
           --> bp $RESULT
           --> esto
786F0000   模块 C:\WINNT\system32\RPCRT4.DLL
7CA00000   模块 C:\WINNT\system32\rsabase.dll
7CF00000   模块 C:\WINNT\system32\ole32.dll
794D0000   模块 C:\WINNT\system32\USERENV.dll
78000000   模块 C:\WINNT\system32\MSVCRT.dll
79C40000   模块 C:\WINNT\system32\CRYPT32.dll
77DF5AEE   断点位于 User32.GetWindowLongA
           --> GetWindowLongA:
           --> jne GoOn1
           --> bc $RESULT
           --> rtu
           --> GetWindowLongA:
           --> jne GoOn1
           --> GoOn1:
773F0000   模块 C:\WINNT\system32\MSASN1.DLL
5F580000   模块 C:\WINNT\system32\DINPUT.dll
77530000   模块 C:\WINNT\system32\WINMM.dll
10000000   模块 C:\Documents and Settings\Administrator\桌面\QQ_FOR_MMOG\MMOGQQ.dll
777C0000   模块 C:\WINNT\system32\WINSPOOL.DRV
79B20000   模块 C:\WINNT\system32\MPR.DLL
71710000   模块 C:\WINNT\system32\COMCTL32.dll
76AF0000   模块 C:\WINNT\system32\comdlg32.dll
772A0000   模块 C:\WINNT\system32\SHLWAPI.DLL
78F90000   模块 C:\WINNT\system32\SHELL32.DLL
75280000   模块 C:\WINNT\system32\oledlg.dll
68E90000   模块 C:\WINNT\system32\OLEPRO32.DLL
77990000   模块 C:\WINNT\system32\OLEAUT32.dll
77900000   模块 C:\WINNT\system32\IMAGEHLP.dll
74FB0000   模块 C:\WINNT\system32\WS2_32.dll
00519C99   访问违规: 正在写入到 [00000000]
74FA0000   模块 C:\WINNT\system32\WS2HELP.DLL
6F880000   模块 C:\WINNT\system32\HID.DLL
77E6B700   ID 00000428 的新线程已创建
77E6B700   ID 000003E0 的新线程已创建

是不是这个LOG?

可能OllyScript的rtu有问题

试试ODbgScript V1.47
http://e3.epsylon.org/olly/ODbgScript.1.47.VC6.rar

最初由 fly 发布
可能OllyScript的rtu有问题

试试ODbgScript V1.47
http://e3.epsylon.org/olly/ODbgScript.1.47.VC6.rar

好像还是不行，真奇怪。。。
OD的设置有问题？我就是默认设置上面改了忽略所有异常～

           ID 000004C8 的新进程已创建
005176ED   ID 000004E4 的主线程已创建
00400000   模块 C:\Documents and Settings\Administrator\桌面\QQ_FOR_MMOG\QQ_FOR_MMOG.exe
             CRC 已更改, 正在放弃 .udd 数据
77E60000   模块 C:\WINNT\system32\Kernel32.dll
77F80000   模块 C:\WINNT\system32\ntdll.dll
005176ED   程序入口点
           --> dbh
           --> var T0
           --> var T1
           --> var T2
           --> var T3
           --> var T4
           --> gpa "GetVersion", "KERNEL32.dll"
           --> eob GetVersion
           --> bp $RESULT
           --> esto
0051779E   INT3 命令位于QQ_FOR_M.0051779E
0051779E   INT3 命令位于QQ_FOR_M.0051779E
005177E1   INT3 命令位于QQ_FOR_M.005177E1
005177E1   INT3 命令位于QQ_FOR_M.005177E1
0051778B   INT3 命令位于QQ_FOR_M.0051778B
005183BB   INT3 命令位于QQ_FOR_M.005183BB
77DF0000   模块 C:\WINNT\system32\User32.dll
77F40000   模块 C:\WINNT\system32\GDI32.dll
75E00000   模块 C:\WINNT\system32\IMM32.DLL
796D0000   模块 C:\WINNT\system32\ADVAPI32.DLL
77E80CD1   断点位于 Kernel32.GetVersion
           --> GetVersion:
           --> jne GoOn0
           --> bc $RESULT
           --> rtu
           --> mov eax,4
           --> mov [$RESULT], #B804000000C3#
           --> gpa "GetWindowLongA", "User32.dll"
           --> eob GetWindowLongA
           --> bp $RESULT
           --> esto
786F0000   模块 C:\WINNT\system32\RPCRT4.DLL
7CA00000   模块 C:\WINNT\system32\rsabase.dll
7CF00000   模块 C:\WINNT\system32\ole32.dll
794D0000   模块 C:\WINNT\system32\USERENV.dll
78000000   模块 C:\WINNT\system32\MSVCRT.dll
79C40000   模块 C:\WINNT\system32\CRYPT32.dll
77DF5AEE   断点位于 User32.GetWindowLongA
           --> GetWindowLongA:
           --> jne GoOn1
           --> bc $RESULT
           --> rtu
           --> GetWindowLongA:
           --> jne GoOn1
           --> esto
773F0000   模块 C:\WINNT\system32\MSASN1.DLL
5F580000   模块 C:\WINNT\system32\DINPUT.dll
77530000   模块 C:\WINNT\system32\WINMM.dll
10000000   模块 C:\Documents and Settings\Administrator\桌面\QQ_FOR_MMOG\MMOGQQ.dll
777C0000   模块 C:\WINNT\system32\WINSPOOL.DRV
79B20000   模块 C:\WINNT\system32\MPR.DLL
71710000   模块 C:\WINNT\system32\COMCTL32.dll
76AF0000   模块 C:\WINNT\system32\comdlg32.dll
772A0000   模块 C:\WINNT\system32\SHLWAPI.DLL
78F90000   模块 C:\WINNT\system32\SHELL32.DLL
75280000   模块 C:\WINNT\system32\oledlg.dll
68E90000   模块 C:\WINNT\system32\OLEPRO32.DLL
77990000   模块 C:\WINNT\system32\OLEAUT32.dll
77900000   模块 C:\WINNT\system32\IMAGEHLP.dll
74FB0000   模块 C:\WINNT\system32\WS2_32.dll
00519C99   访问违规: 正在写入到 [00000000]
74FA0000   模块 C:\WINNT\system32\WS2HELP.DLL
6F880000   模块 C:\WINNT\system32\HID.DLL
77E6B700   ID 0000038C 的新线程已创建
77E6B700   ID 0000048C 的新线程已创建

在我系统上没任何问题..一切正常~~

最初由 闪电狼 发布
在我系统上没任何问题..一切正常~~

难道是我的RPWT？晕倒～
我可是换了两台WIN2K，一台WIN2003,都是那种问题。无语。。。。。

测试了几台机子都没能发现你说示的情况
只能建议你用VMware安装个虚拟2K或者XP看看了

最初由 fly 发布
测试了几台机子都没能发现你说示的情况
只能建议你用VMware安装个虚拟2K或者XP看看了

谢谢了

果然是OD的版本的问题，我捡了个最老的版本用上，终于成功了，谢谢大家的帮助～・・・・・・

最初由 machenglin 发布
我估计不是版本问题，是没有修正镜像大小。

是OD版本的问题，用CAO_CONG汉化2版运行脚本就找不出OEP，换了一个版本的OD就可以了

可能是 配置/UDD/断点未清除 的问题
测试过英文原版和几个汉化版都可以用脚本到OEP