1012C059    68 00800000     push 8000
1012C05E    6A 00           push 0
1012C060    FFB5 FA050000   push dword ptr ss:[ebp+5FA]
1012C066    FF95 6F050000   call dword ptr ss:[ebp+56F]
1012C06C    E8 A0000000     call TVB.1012C111
1012C071    E8 9B010000     call TVB.1012C211
1012C076    61              popad
1012C077  - E9 AA74EFFF     jmp TVB.10023526   这个大转跳一般都是跳向oep的吧?
1012C07C    90              nop
1012C07D    61              popad

10023526      83            db 83     我来到了这里.删除模块中的分析
10023527      7C            db 7C                                    ;  CHAR '|'
10023528      24            db 24                                    ;  CHAR '$'
10023529      08            db 08
1002352A      01            db 01

10023526    837C24 08 01    cmp dword ptr ss:[esp+8],1   删除模块分析以后就到这里了
1002352B    75 05           jnz short TVB.10023532
1002352D    E8 D0B50000     call TVB.1002EB02
10023532    FF7424 04       push dword ptr ss:[esp+4]
10023536    8B4C24 10       mov ecx,dword ptr ss:[esp+10]
1002353A    8B5424 0C       mov edx,dword ptr ss:[esp+C]
1002353E    E8 EDFEFFFF     call TVB.10023430    到了这个call以后就跳到了 7c92eaf0
10023543    59              pop ecx
10023544    C2 0C00         retn 0C

7C92EAF0    8B1C24          mov ebx,dword ptr ss:[esp] 到了这里就不懂继续了...
7C92EAF3    51              push ecx
7C92EAF4    53              push ebx
7C92EAF5    E8 C78C0200     call ntdll.7C9577C1
7C92EAFA    0AC0            or al,al
7C92EAFC    74 0C           je short ntdll.7C92EB0A

请问各位大虾该怎么走下去?有没有RLPack 的脱文可以参考呢?

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课