用VOLX脚本运行出现：IMPort table is fixed,you can dump the file noe or later,check the address and size of IAT in log window（E文有限，不知道什么意思）
点确定后
01190028    0000            ADD BYTE PTR DS:[EAX],AL 停在这
0119002A    0000            ADD BYTE PTR DS:[EAX],AL
0119002C    0000            ADD BYTE PTR DS:[EAX],AL
0119002E    0000            ADD BYTE PTR DS:[EAX],AL
01190030    0000            ADD BYTE PTR DS:[EAX],AL
01190032    0000            ADD BYTE PTR DS:[EAX],AL
01190034    0000            ADD BYTE PTR DS:[EAX],AL
01190036    0000            ADD BYTE PTR DS:[EAX],AL
01190038    0000            ADD BYTE PTR DS:[EAX],AL
0119003A    0000            ADD BYTE PTR DS:[EAX],AL

sift+F9两次来到最后一异常，下内存断点sift+F9运行
00406A8C  - FF25 B0514E00   JMP DWORD PTR DS:      停在这[4E51B0]                ; kernel32.GetModuleHandleA
00406A92    8BC0            MOV EAX,EAX
00406A94  - FF25 4C524E00   JMP DWORD PTR DS:[4E524C]                ; kernel32.LocalAlloc
00406A9A    8BC0            MOV EAX,EAX
00406A9C  - FF25 48524E00   JMP DWORD PTR DS:[4E5248]                ; kernel32.TlsGetValue
00406AA2    8BC0            MOV EAX,EAX
00406AA4  - FF25 44524E00   JMP DWORD PTR DS:[4E5244]                ; kernel32.TlsSetValue
00406AAA    8BC0            MOV EAX,EAX
00406AAC    50              PUSH EAX
00406AAD    6A 40           PUSH 40

我用PEID查到的OEP是49C438，按照大家的教程00406A8C这里应该是OEP
0049C438 >/$  55            PUSH EBP       但看这又比较象OEP
0049C439  |.  8BEC          MOV EBP,ESP
0049C43B  |.  83C4 F8       ADD ESP,-8
0049C43E  |.  53            PUSH EBX
0049C43F  |.  894D F8       MOV DWORD PTR SS:[EBP-8],ECX
0049C442  |.  8955 FC       MOV DWORD PTR SS:[EBP-4],EDX
0049C445  |.  8B45 FC       MOV EAX,DWORD PTR SS:[EBP-4]
0049C448  |.  E8 378AF6FF   CALL dumped_.00404E84
0049C44D  |.  8B45 F8       MOV EAX,DWORD PTR SS:[EBP-8]
0049C450  |.  E8 2F8AF6FF   CALL dumped_.00404E84
0049C455  |.  33C0          XOR EAX,EAX
0049C457  |.  55            PUSH EBP
0049C458  |.  68 B0C44900   PUSH dumped_.0049C4B0
0049C45D  |.  64:FF30       PUSH DWORD PTR FS:[EAX]
0049C460  |.  64:8920       MOV DWORD PTR FS:[EAX],ESP
0049C463  |.  B3 01         MOV BL,1
0049C465  |.  8B45 F8       MOV EAX,DWORD PTR SS:[EBP-8]
0049C468  |.  E8 278AF6FF   CALL dumped_.00404E94
0049C46D  |.  A3 18424E00   MOV DWORD PTR DS:[4E4218],EAX
0049C472  |.  A1 18424E00   MOV EAX,DWORD PTR DS:[4E4218]
0049C477  |.  E8 889DFEFF   CALL dumped_.00486204

先不管了，两个地方都脱一个看看，，用IMP修复全部有效，可就是不能运行，也没任何提示。
用OD载入脱壳后的文件F9运行到下面就中断了
7C92EB94 >  C3              RETN                        停在这
7C92EB95    8DA424 00000000 LEA ESP,DWORD PTR SS:[ESP]
7C92EB9C    8D6424 00       LEA ESP,DWORD PTR SS:[ESP]
7C92EBA0    90              NOP
7C92EBA1    90              NOP
7C92EBA2    90              NOP
7C92EBA3    90              NOP
7C92EBA4    90              NOP
7C92EBA5 >  8D5424 08       LEA EDX,DWORD PTR SS:[ESP+8]
7C92EBA9    CD 2E           INT 2E
7C92EBAB    C3              RETN
7C92EBAC >  55              PUSH EBP
7C92EBAD    8BEC            MOV EBP,ESP
7C92EBAF    9C              PUSHFD
7C92EBB0    81EC D0020000   SUB ESP,2D0
7C92EBB6    8985 DCFDFFFF   MOV DWORD PTR SS:[EBP-224],EAX
7C92EBBC    898D D8FDFFFF   MOV DWORD PTR SS:[EBP-228],ECX
7C92EBC2    8B45 08         MOV EAX,DWORD PTR SS:[EBP+8]
大家快来帮帮忙指点下，，，到底真正入口是那一个，，
下面该怎么做

最初由 kmjyq 发布
用VOLX脚本运行出现：IMPort table is fixed,you can dump the file noe or later,check the address and size of IAT in log window（E文有限，不知道什么意思）
点确定后
01190028 0000 ADD BYTE PTR DS:[EAX],AL 停在这
0119002A 0000 ADD BYTE PTR DS:[EAX],AL
0119002C 0000 ADD BYTE PTR DS:[EAX],AL
........

出现 "Import table is fixed,........"
点确定后, 到 OD 菜单点击 plugins-ODBGscript-resume

先谢VOLX指点
照大哥的操作出现：stolen code start,press ok button to add comments
点确定后又出现：comments are added
确定后停在这
0136027D    55              PUSH              EBP                                 ; 00049D57C这里是OEP吗？
0136027E    BD A2CD4400     MOV EBP,44CDA2
01360283    83DD 4D         SBB EBP,4D
01360286    336C24 28       XOR EBP,DWORD PTR SS:[ESP+28]
0136028A    336C24 08       XOR EBP,DWORD PTR SS:[ESP+8]
0136028E    BD F2BE4200     MOV EBP,42BEF2
01360293    336C24 28       XOR EBP,DWORD PTR SS:[ESP+28]
01360297    F3:             PREFIX REP:                              ; 多余的前缀
01360298    EB 02           JMP SHORT 0136029C
0136029A    CD 20           INT 20
0136029C    8D6C04 35       LEA EBP,DWORD PTR SS:[ESP+EAX+35]
013602A0    2BE8            SUB EBP,EAX
013602A2    8D6D CB         LEA EBP,DWORD PTR SS:[EBP-35]
013602A5    83C4 F0         ADD ESP,-10
学习，学习，再学习

没人能帮小弟吗？？？

stolen code start

最初由 kmjyq 发布
先谢VOLX指点
照大哥的操作出现：stolen code start,press ok button to add comments
点确定后又出现：comments are added
确定后停在这
0136027D 55 PUSH EBP ; 00049D57C这里是OEP吗？
........

原始OEP ：0049D57C
这里是伪OEP

是不是只要把入口修改力9d57c就可以了

学学基础吧，还有很多标准函数要修复的，
试试补区段

那位大侠帮脱下，不要求要成果，只要写个过程就行，，
感激不尽

能说说脚本运行后的详细过程吗？？

帮帮忙啊，老大

多看教程，补区段的很简单

介绍一篇吧,,我找到的说的不全面,,
大侠推荐一篇吧,谢谢了

没有人愿意多写几个字指点吗？？
补区段要怎么做啊？？？

machenglin我也觉得你应该把过程贴出来哦  偶也是菜鸟  偶要学习, 就请你再辛苦下下,谢谢啦  ~~!!

最初由SYSCOM
发布
11) ?行 LordPE ,啉定 MultiTranse.exe 按右 key Mouse,
啉 dump region 取出 Stolen Code ?段,忽略?用模? API VM,
取出必?的 M1-M3 Stolen Code VM ?段 ,及 OEP ?段

VM Address Size
===========================
00BC0000 33000 <-ASProtect 解密 CODE ?段
00C40000 4000 <-ASProtect 儋料 DATA ?段
00EA0000 3000 <-OEP Stolen Code
00F00000 1000 <-M1 Stolen Code
00F10000 1000 <-M1 Stolen Code
00F20000 1000 <-M2 Stolen Code
00F30000 1000 <-M2 Stolen Code
00F40000 1000 <-M2 Stolen Code
00F50000 1000 <-M3 Stolen Code
00F60000 1000 <-M3 Stolen Code
===========================

我用ＶＯＬＸ大侠的脚本运行后
011B027D    55              PUSH 这里应该说是大侠们说的ＯＥＰ啦EBP                                 ; 00049D57C
011B027E    BD A2CD4400     MOV EBP,44CDA2
011B0283    83DD 4D         SBB EBP,4D
011B0286    336C24 28       XOR EBP,DWORD PTR SS:[ESP+28]
011B028A    336C24 08       XOR EBP,DWORD PTR SS:[ESP+8]
011B028E    BD F2BE4200     MOV EBP,42BEF2
011B0293    336C24 28       XOR EBP,DWORD PTR SS:[ESP+28]
011B0297    F3:             PREFIX REP:                              ; 多余的前缀
011B0298    EB 02           JMP SHORT 011B029C
011B029A    CD 20           INT 20

又到OEP后开始修复，搜索89,45,F0,B8,00,07,00,00，没反应，是不是说ＶＯＬＸ大侠的脚本己经修复过了，接下来用 LordPE右键区段转存，，在转存窗口中找不大侠们说的 API VM,必?的 M1-M3 Stolen Code VM 区段 ,及 OEP 区段，

类型那只有mapped,private.image
到底这里要怎么做

这个问题我不明白,但我觉得不应该这样问.你将有壳和无壳的都用od跟一下,看问题出在哪里,再问相应的问题,牛人们才好说