我本来是跟在原贴后面的,后来一想估计没人会去看就发出来了
http://bbs1.pediy.com/showthread.php?t=40701 原帖
我运行这个脚本进出现这种问题，首先是脚本运行到这里：
bpep:
    run
    cmp eip,ep
    je loop2
    jmp bpep
程序已经运行，弹出一个是否要升级程序的对话框。选定后，出现几次异常XXXXXXXX，shift-F9之后
这段脚本再循环几次进程就终止了。这是单步走脚本的结果。
如果直接运行脚本，我就没看到那几次异常。

之后看到VOLX大侠说把
gpa "ZwCreateThread","ntdll.dll"
bp $RESULT
改成
gpa "LdrLoadDll","ntdll.dll"
bp $RESULT
试做之后脚本就在这地方打转，一直不停。
loop3:   
    esto
    mov tmp,eip
    mov tmp,[tmp]
    cmp tmp,992C008A
    jne loop5
    mov oep,eax
    sti
    bprm oep,1

loop4:
    esto
    cmp eip,oep
    jne loop4
    jmp iat

loop5:
    cmp esp,esptmp
    jne loop3
我运行了十多分钟程序还是在那里不停的转。代码和堆栈的位置也基本是那一块。
偶而停在代码pop　esi处，一会又再继续循环。
这段脚本看上去是在一段内存中查找这段代码
004C1000    99              CDQ
004C1001    2C 00           SUB AL,0
004C1003    8A00            MOV AL,BYTE PTR DS:[EAX]
然后把eax，值放入OEP。这应该意味着eax就是OEP地址吧。
可这时候我的程序已经运行了。eax基本不可能是OEP了？
还希望大家指一二。如果有可能的话还希望，作者或者那位大侠能把这个脚本分析一下最好是能把execyptor深入解释一下，如果没时间，把大概意思写出来也成。这样我们这些初学者也可以按照脚本思路试着读一读。不至于搞错。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！