00401000 > $  6A 00                   PUSH 0                              ;这是入口点
00401002   .  66:A1 00104000          MOV AX,WORD PTR DS:[<模块入口点>]
00401008   .  66:C705 00104000 6A00   MOV WORD PTR DS:[<模块入口点>],6A
00401011   .  90                      NOP
00401012   .  90                      NOP
00401013   .  90                      NOP
00401014   .^ EB EA                   JMP SHORT 111.<模块入口点>
00401016   .  6A 0A                   PUSH 0A                                  ; /Arg4 = 0000000A
00401018   .  FF35 34304000           PUSH DWORD PTR DS:[403034]               ; |Arg3 = 00000000
0040101E   .  6A 00                   PUSH 0                                   ; |Arg2 = 00000000
00401020   .  FF35 30304000           PUSH DWORD PTR DS:[403030]               ; |Arg1 = 00000000
00401026   .  E8 06000000             CALL 111.00401031                        ; \111.00401031

OD载入后修改代码段访问权限为所有权限
在00401000下F2断
单步到00401013下F2断，注意AX的变化
按F9，看OD断在那里
我没有权限上传附件，有兴趣的自己找个文件改改看。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！