http://bbs.pediy.com/showthread.php?t=42083帖子上的附件脱壳纪录
PEID查壳为UPX 0.80 - 1.24 DLL -> Markus & Laszlo
OD载入，CTRL+B查找：31 C0 8A 07

1006D485    31C0                      xor eax,eax
1006D487    8A07                      mov al,byte ptr ds:[edi]//此处F2下断

F9运行到此，断下来后，记录EDI里的值，这个是重定位值(1006B81B(EDI值)-10000000(基址)=6B81B)

F8单步走到(或者直接向下找到以下代码，F2断点)
1006D4ED  - E9 5631FDFF               jmp KAVPassp.10040648 //跳到OEP

OEP:
10040648    55                        push ebp
10040649    8BEC                      mov ebp,esp
1004064B    53                        push ebx
1004064C    8B5D 08                   mov ebx,dword ptr ss:[ebp+8]

脱壳。打开PE编辑器修复重定位值，再修复脱壳后的文件即可。

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界