高手来指点下啊

也很关注,这个问题困扰好久,详细看这个贴,不知道是不是问的太菜了,没有大侠正面回答过.
http://bbs.pediy.com/showthread.php?s=&threadid=25501

最初由 kmjyq 发布
00B4000A BA 00108700 mov edx,871000 ; code段头④
00B4000F 803A E8 cmp byte ptr ds:[edx],0E8
00B40012 75 14 jnz short 00B40028
00B40014 8B42 01 mov eax,dword ptr ds:[edx+1]
00B40017 03C2 add eax,edx
........

直接在od中就可以看到啊

用VolXversion : v1.02的脚本后
01150028    0000            ADD BYTE PTR DS:[EAX],AL  停在这
0115002A    0000            ADD BYTE PTR DS:[EAX],AL
0115002C    0000            ADD BYTE PTR DS:[EAX],AL
0115002E    0000            ADD BYTE PTR DS:[EAX],AL
01150030    0000            ADD BYTE PTR DS:[EAX],AL
01150032    0000            ADD BYTE PTR DS:[EAX],AL
01150034    0000            ADD BYTE PTR DS:[EAX],AL
01150036    0000            ADD BYTE PTR DS:[EAX],AL
01150038    0000            ADD BYTE PTR DS:[EAX],AL
0115003A    0000            ADD BYTE PTR DS:[EAX],AL
0115003C    0000            ADD BYTE PTR DS:[EAX],AL
0115003E    0000            ADD BYTE PTR DS:[EAX],AL
01150040    0000            ADD BYTE PTR DS:[EAX],AL
不象大们所说OEP处，，是不是没操作对

帮你顶一下

最初由 machenglin 发布
Alt+M，看脱壳软件的区段CODE、DATA。

我的想法也是这样,可大大们的文章中,patch代码上用到的值,与这个
Alt+M，看脱壳软件的区段CODE、DATA看到的值不同.

最初由 machenglin 发布
Alt+M，看脱壳软件的区段CODE、DATA。

我的想法也是这样,可大大们的文章中,patch代码上用到的值,与这个
Alt+M，看脱壳软件的区段CODE、DATA看到的值不同.

上面应该是个Dephi的DLL吧，重定位后
映像基址为         870000
第一个区段VA为     871000
第二个区段VA为     8C0000
我们搜索范围是第一个区段(一般为代码段)
这几个值在OD中内存映像窗口可以看到