我刚才用ollydbg自己脱了一下，脱完以后用peid再扫就什么也扫不到了。 软件可以运行。用深度扫描扫描结果是ASPack 2.1 Modified -> Alexey Solodovnikov
有没有人告诉我为什么?这个软件好像应该是VB编写的。我从OLLYDBG里面也扫描不到任何字符。

。。555在外面发不了。。

仅仅加了2个壳而已，一分钟搞定。

先加的upx然后又加的aspack而已，文章我就不发了

Microsoft Visual Basic 5.0 / 6.0

PEID查壳
        ASPack 2.001 -> Alexey Solodovnikov
看区段  upx0 upx1 aspack
初步估计是加2个壳，OD载入程序，来到如下代码：
004EB001 >  60              pushad       //程序入口点
004EB002    E8 72050000     call    004EB579     //此处用ESP定律
004EB007    EB 4C           jmp     short 004EB055
来到如下代码：
004EB4F4   /75 08           jnz     short 004EB4FE
004EB4F6   |B8 01000000     mov     eax, 1
004EB4FB   |C2 0C00         retn    0C
004EB4FE   \68 C03B4D00     push    004D3BC0
004EB503    C3              retn            //到下面代码
删除硬件断点，F8单步来到如下代码：
004D3BC0   .  60            pushad
004D3BC1   .  BE 00804A00   mov     esi, 004A8000     //ESP定律
004D3BC6   .  8DBE 0090F5FF lea     edi, dword ptr [esi+FFF59000]
004D3BCC   .  57            push    edi
来到如下代码：
004D4722   .  8D4424 80     lea     eax, dword ptr [esp-80]
004D4726   >  6A 00         push    0
004D4728   .  39C4          cmp     esp, eax
004D472A   .^ 75 FA         jnz     short 004D4726  //回调需要避过
004D472C   .  83EC 80       sub     esp, -80        //此处F4，避过回调
004D472F   .- E9 34D0F2FF   jmp     00401768        //返回到OEP
004D4734      00            db      00
删除断点,F8单步，直接来到OEP：
00401768    68 88B24200     push    0042B288                         ; ASCII "VB5!6&vb6chs.dll"       //OEP,可见是VB编写
0040176D    E8 F0FFFFFF     call    00401762                         ; jmp 到 msvbvm60.ThunRTMain
00401772    0000            add     byte ptr [eax], al
00401774    0000            add     byte ptr [eax], al
00401776    0000            add     byte ptr [eax], al
00401778    3000            xor     byte ptr [eax], al
LordPE脱壳，ImportREC修复即可。
-------------------------------------------------------------------------------
说明
双重壳要一个一个脱，一般脱壳程序或者插件不行，脱壳解决掉了，可是破解没弄下。

嘿嘿谢谢竹君呃
我还是新手，所以很多东西需要慢慢的学习，也很希望能得到大家的指导。
刚才翻了一期X档案，里面正好有脱壳的，说只要调试一步，发现ESP变红时就在命令行 Hr 地址
就可以。这是esp定律么?
关于破解，因为有弹出窗口,我想试试，看看能不能找到信息弹出然后把上面的一个大跳转nop掉，我曾经看过一位前辈这样弄过，但是不知道是否能成功。
不知竹君前辈能否把脱完的程序发一份到我邮箱nidemike@126.com我想看一下。
包括手动，我试了几种方法脱，都没有成功，每次都是什么都检测不出来 555毕竟是新手，很盲目了。
再次深表谢意。

我刚简单看了一下esp定义的广泛内容，但是对于实际应用还是有些云里雾里~~

我试了一下
004D472A   .^ 75 FA         jnz     short 004D4726  //回调需要避过
004D472C   .  83EC 80       sub     esp, -80        //此处F4，避过回调
004D472F   .- E9 34D0F2FF   jmp     00401768        //返回到OEP
这里不是太懂我到jnz那里的时候按了一下F4然后选中 sub行选了 断点，跳到选定位置，然后F8就到了下面，也看到了那些信息。接下去我就没调试了不知道是不是应该这样做，我直接用lordpe脱了壳，脱完以后运行，显示应用程序正常初始化0*c00000005失败,这个时候我运行了import rec 选择了脱完的exe程序但是OEP我不知道应该填写什么（原谅：确实是刚接触，看的都是表面东西，照猫画虎，很多不是狠理解）jmp     00401768 这里应该是跳转到00401768那么这个00401768是oep么?我看了下oep是程序入口点，那么就应该是这个吧?

如果是那个，为什么显示不匹配呢?是我哪一步出现错误了么？我QQ：121175998 MSN：lzor_m@hotmail.com 竹前辈看到了可以告诉我下么

我又尝试了 0042B288 和 00401762~~都不行。

昨天弄到半夜~~~呃。没文化真可怕。。还是修复不好。竹生说，看区段  upx0 upx1 aspack，此番不得解。

应该是因为你没有删除硬件断点吧？

004D472F   .- E9 34D0F2FF   jmp     00401768        //返回到OEP
004D4734      00            db      00
我倒004D472F   .- E9 34D0F2FF   jmp     00401768        //返回到OEP删除了一下断点，不知道对不对。

硬件断点。最好是用完了。就删除。。。要再跳转以前删除。要不有时候就会发生跑飞。。

先看点基础的，程序我发不邮箱

：）尝试出来了~~
谢谢。

回头来看这是我第一次help人  哈哈

竹君  你怎么可以一分钟解决呢。一分钟解决就说明这壳太没技术含量了 。