前面的一篇脱文，我为什么做不出来？

另外开个OD，然后attach XXX这个进程
                ~~~~~~~~~~
            还有这个进程是父进程还是子进程？
......

然后Alt+F9返回，

00A97995 FF15 C480AB00 call dword ptr ds:[AB80C4]
; kernel32.GetModuleHandleA
00A9799B 8B0D E011AC00 mov ecx,dword ptr ds:[AC11E0]
<====返回到这里
00A979A1 89040E mov dword ptr ds:[esi+ecx],eax
00A979A4 A1 E011AC00 mov eax,dword ptr ds:[AC11E0]
00A979A9 393C06 cmp dword ptr ds:[esi+eax],edi
00A979AC 75 16 jnz short 00A979C4
00A979AE 8D85 B4FEFFFF lea eax,dword ptr ss:[ebp-14C]
00A979B4 50 push eax
00A979B5 FF15 CC80AB00 call dword ptr ds:[AB80CC]
; kernel32.LoadLibraryA
00A979BB 8B0D E011AC00 mov ecx,dword ptr ds:[AC11E0]
00A979C1 89040E mov dword ptr ds:[esi+ecx],eax
00A979C4 A1 E011AC00 mov eax,dword ptr ds:[AC11E0]
00A979C9 393C06 cmp dword ptr ds:[esi+eax],edi
00A979CC 0F84 AD000000 je 00A97A7F
<====Magic Jump，修改为JMP
00A979D2 33C9 xor ecx,ecx
00A979D4 8B03 mov eax,dword ptr ds:[ebx]

修改了上面的Magic Jump后，清除所有断点，Alt+M ,在401000上下
内存访问断点，F9运行，这次中断到了OEP，然后运行ImportREC，
              ~~~~~~~~~~~~~~~~~~~~~~~~
              这里似乎在Win2K似乎无法到达  

选择324这个进程，OEP填：10CC，RVA：72EC，SIZE：244，
然后“Get Imports”,再按“Show Invalid”地址，
剪掉修复抓取文件,程序能够正常运行,至此脱壳完毕
!第一次用OD脱壳,感觉就是爽,和Softice比起来,感觉OD脱壳很方便.

[课程]FART 脱壳王！加量不加价！FART作者讲授！