修复Armadillo 3.00a - 3.61 -> Silicon Realms Toolworks加的壳我遇到问题

SuoHa.exe用peid查Armadillo 3.00a - 3.61 -> Silicon Realms Toolworks
工具win2000,peid,ollydbg1.10

我用以下方法脱壳：

bp OpenMutexA

0012FBC8 62C:A9B0D9615

CTR+G 输入00401000 然后填入

00401000    60              pushad
00401001    9C              pushfd
00401002    68 B4FB1200     push 0012FBC8 //这里是我们填入刚才看到的东西
00401007    33C0            xor eax, eax
00401009    50              push eax
0040100A    50              push eax
0040100B    E8 B5A6A577     call kernel32.CreateMutexA
00401010    9D              popfd
00401011    61              popad
00401012  - E9 7A13A677     jmp kernel32.OpenMutexA

在设置00401000为新的起始处

bp GetCurrentThreadId
F9

N次以后到达类似一下代码
015CCF22    E8 1D6CFEFF     CALL 015B3B44
015CCF27    FF15 FC505D01   CALL DWORD PTR DS:[15D50FC]              ; KERNEL32.GetCurrentThreadId
015CCF2D    A3 F0185E01     MOV DWORD PTR DS:[15E18F0],EAX
015CCF32    E8 2487FEFF     CALL 015B565B
015CCF37    6A 00           PUSH 0
015CCF39    E8 4BD9FEFF     CALL 015BA889
015CCF3E    59              POP ECX
015CCF3F    E8 7D39FFFF     CALL 015C08C1
015CCF44    8BF8            MOV EDI,EAX
015CCF46    A1 E0185E01     MOV EAX,DWORD PTR DS:[15E18E0]
015CCF4B    8B48 74         MOV ECX,DWORD PTR DS:[EAX+74]
015CCF4E    3348 5C         XOR ECX,DWORD PTR DS:[EAX+5C]
015CCF51    3308            XOR ECX,DWORD PTR DS:[EAX]
015CCF53    03F9            ADD EDI,ECX
015CCF55    8B0E            MOV ECX,DWORD PTR DS:[ESI]
015CCF57    85C9            TEST ECX,ECX
015CCF59    75 2E           JNZ SHORT 015CCF89
015CCF5B    8B78 5C         MOV EDI,DWORD PTR DS:[EAX+5C]
015CCF5E    E8 5E39FFFF     CALL 015C08C1
015CCF63    8B0D E0185E01   MOV ECX,DWORD PTR DS:[15E18E0]           ; SUOHA.00A0C258
015CCF69    FF76 14         PUSH DWORD PTR DS:[ESI+14]
015CCF6C    8B51 74         MOV EDX,DWORD PTR DS:[ECX+74]
015CCF6F    FF76 10         PUSH DWORD PTR DS:[ESI+10]
015CCF72    33D7            XOR EDX,EDI
015CCF74    3311            XOR EDX,DWORD PTR DS:[ECX]
015CCF76    FF76 0C         PUSH DWORD PTR DS:[ESI+C]
015CCF79    03C2            ADD EAX,EDX
015CCF7B    8B51 78         MOV EDX,DWORD PTR DS:[ECX+78]
015CCF7E    3351 14         XOR EDX,DWORD PTR DS:[ECX+14]
015CCF81    33D7            XOR EDX,EDI
015CCF83    2BC2            SUB EAX,EDX
015CCF85    FFD0            CALL EAX
015CCF87    EB 25           JMP SHORT 015CCFAE
015CCF89    83F9 01         CMP ECX,1
015CCF8C    75 22           JNZ SHORT 015CCFB0
015CCF8E    FF76 04         PUSH DWORD PTR DS:[ESI+4]
015CCF91    FF76 08         PUSH DWORD PTR DS:[ESI+8]
015CCF94    6A 00           PUSH 0
015CCF96    E8 2639FFFF     CALL 015C08C1
015CCF9B    50              PUSH EAX
015CCF9C    A1 E0185E01     MOV EAX,DWORD PTR DS:[15E18E0]
015CCFA1    8B48 78         MOV ECX,DWORD PTR DS:[EAX+78]
015CCFA4    3348 5C         XOR ECX,DWORD PTR DS:[EAX+5C]
015CCFA7    3348 14         XOR ECX,DWORD PTR DS:[EAX+14]
015CCFAA    2BF9            SUB EDI,ECX
015CCFAC    FFD7            CALL EDI                                 ; 这个是入口
015CCFAE    8BD8            MOV EBX,EAX
015CCFB0    5F              POP EDI
015CCFB1    8BC3            MOV EAX,EBX
015CCFB3    5E              POP ESI
015CCFB4    5B              POP EBX
015CCFB5    C3              RETN

进了入口我用 method1 DUMP了文件，然后用IMPORT REC怎么也修复不了那个EXE。

原文件:http://bluecrest.nease.net/QA/SuoHa.rar
DUMP文件:http://bluecrest.nease.net/QA/dumped.rar

请高手指点。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课