00464E80    55              push ebp    // 这才是OEP

iat 肯定是需要修复的，可以手动一个个修复。

找到了这个OEP，是标准的C++头，里面 GetVersion，GetCommandLineA 被改了，功力不够，修复不了

test2 也是类似的

00433860    55              push ebp                                 ; OEP

00433861    8BEC            mov ebp,esp
00433863    6A FF           push -0x1
00433865    68 C8434500     push test2.004543C8
0043386A    68 1C554300     push test2.0043551C
0043386F    64:A1 00000000  mov eax,dword ptr fs:[0]
00433875    50              push eax
00433876    64:8925 0000000>mov dword ptr fs:[0],esp
0043387D    83EC 10         sub esp,0x10
00433880    53              push ebx
00433881    56              push esi                                 ; test2.00400000
00433882    57              push edi                                 ; test2.00451869
00433883    8965 E8         mov dword ptr ss:[ebp-0x18],esp
00433886    E8 F5E10100     call test2.00451A80                   ; 应为 KERNEL32.GetVersion ~ 00433891
0043388B    6933 D28AD489   imul esi,dword ptr ds:[ebx],0x89D48AD2  <----- 乱码
00433891    15 CCCB9602     adc eax,test2.0296CBCC                      <----- 乱码
00433896    8BC8            mov ecx,eax
00433898    81E1 FF000000   and ecx,0xFF
0043389E    890D C8CB9602   mov dword ptr ds:[0x296CBC8],ecx         ; test2.02A73000
004338A4    C1E1 08         shl ecx,0x8
004338A7    03CA            add ecx,edx
004338A9    890D C4CB9602   mov dword ptr ds:[0x296CBC4],ecx         ; test2.02A73000
004338AF    C1E8 10         shr eax,0x10
004338B2    A3 C0CB9602     mov dword ptr ds:[0x296CBC0],eax
004338B7    6A 00           push 0x0
004338B9    E8 7C2F0000     call test2.0043683A
004338BE    59              pop ecx                                  ; test2.02A7FE33
004338BF    85C0            test eax,eax
004338C1    75 08           jnz short test2.004338CB
004338C3    6A 1C           push 0x1C
004338C5    E8 9A000000     call test2.00433964
004338CA    59              pop ecx                                  ; test2.02A7FE33
004338CB    8365 FC 00      and dword ptr ss:[ebp-0x4],0x0
004338CF    E8 982D0000     call test2.0043666C
004338D4    E8 48E00100     call test2.00451921                   ; 应为GetCommandLineA  
004338D9    2C A3           sub al,0xA3

不知怎么修复

您好，这是自己加的壳吗？如果是自己加的壳，可以分享一下相关的工具和原程序吗？
我这边试了下，XVolkolak 可以脱掉这个壳，https://horsicq.github.io/#xvolkolak

软件狗加壳工具，需要开发狗才能使用。
在学习脱这种壳，想自己手动完成

对IAT表的修复，偷码都不熟，正在学习中。。。

qux 您好，这是自己加的壳吗？如果是自己加的壳，可以分享一下相关的工具和原程序吗？ 我这边试了下，XVolkolak 可以脱掉这个壳，https://horsicq.github.io/#xvolkola ...

这个工具能完美脱壳吗？

MicroCoin 这个工具能完美脱壳吗？

看起来处理之后的导入表都是正常的，但我不知道原程序长什么样，所以不确定是不是完美脱壳