在0211E081 处以及后面的两个JMP都
跳向不正确的地址，可以用插件去花指令
然后往后找POPAD或用ESP试一下，
仅供参考

最初由 thinkSJ 发布
在0211E081 处以及后面的两个JMP都
跳向不正确的地址，可以用插件去花指令
然后往后找POPAD或用ESP试一下，
仅供参考

楼上的方法 嘎嘎

用ＦＩ来查，要不去下一个ＰＥＩＤ的扩展库就能查出来了．

最初由 wekabc 发布
用ＦＩ来查，要不去下一个ＰＥＩＤ的扩展库就能查出来了．

fi查下来是WIN GUI *UNKNOWN*,,,,,,,PEID扩展库也是未知....

跟踪运行程序都是到0211E586    C3              retn

就自动终止程序了

你的PEID扩展库是最新的吗，如果是应该可以查出来．

0487F060 YB>  60              pushad
0487F061      90              nop
0487F062      E8 00000000     call YBmars1_.0487F067
0487F067      5D              pop ebp
0487F068      81ED F41D4000   sub ebp,401DF4
0487F06E      B9 04090000     mov ecx,904
0487F073      8DBD 3C1E4000   lea edi,dword ptr ss:[ebp+401E3C]
0487F079      8BF7            mov esi,edi
0487F07B      AC              lodsb
0487F07C      F9              stc
0487F07D      34 48           xor al,48
0487F07F      2C 61           sub al,61
0487F081      FEC8            dec al
0487F083      C0C0 C7         rol al,0C7
0487F086      FEC8            dec al
0487F088      34 BA           xor al,0BA
0487F08A      2C 0B           sub al,0B
0487F08C      90              nop
0487F08D      2AC1            sub al,cl
0487F08F      04 EE           add al,0EE
0487F091      90              nop
0487F092      2C 42           sub al,42
0487F094      FEC8            dec al
0487F096      34 5A           xor al,5A
0487F098      2C B6           sub al,0B6
0487F09A      F9              stc
0487F09B      F9              stc
0487F09C      02C1            add al,cl
0487F09E      C0C8 02         ror al,2
0487F0A1      02C1            add al,cl
0487F0A3      C0C0 71         rol al,71
0487F0A6      34 48           xor al,48
0487F0A8      2C 61           sub al,61
0487F0AA      FEC8            dec al
0487F0AC      AA              stosb
0487F0AD    ^ E2 CC           loopd short YBmars1_.0487F07B
0487F0AF      EF              out dx,eax
0487F0B0      134B BB         adc ecx,dword ptr ds:[ebx-45]
0487F0B3      33E3            xor esp,ebx
0487F0B5      302D 06AEAA1B   xor byte ptr ds:[1BAAAE06],ch
0487F0BB      102C38          adc byte ptr ds:[eax+edi],ch
0487F0BE      B1 B1           mov cl,0B1
0487F0C0      47              inc edi
0487F0C1    ^ 7F D4           jg short YBmars1_.0487F097

这是什么壳

别管是什么壳，这个我试过了，带壳一样可以直接修改，脱不脱没多大意思

楼上的怎么说？解释下

楼上的说的对，确实可以带壳修改

2次ESP试一下，好像碰到过。

这个壳是变形的Asprotect壳，ESP定律不太适用，设kenal32设断点Read,creatFileA.

需要插件Ollyinvsiable

你脱的是FSMARS（篮球外挂）的壳吧？这个它里面做了反调试命令softice+ext可以很快的脱了它。

还是一个比较强的壳，不知道是国内哪位高手写的壳

Ollyinvsiable是什么插件?派什么用的呢?
还有我是xp系统softice装不了....

xp 下可以装ice的...
2.7版本的

再脱脱看...不懂再问

我也想知道程序装入od后就终止在retn ，程序根本就没有run起来，这样怎么脱壳呀 。