From:http://bbs.pediy.com/showthread.php?s=&threadid=12604

Q:怎样“用lordpe纠正imagesize的值”
A:运行LordPE，选择目标进程，点右键就有这个选项

斑竹请教：我按本贴的办法从内存了里DUMP出一个EXE文件，可是在本机上也无发运行，使用的方法和本贴的方法一样，不知何故。谢谢

全部修复了？
脱的是教程中的目标程序？
不要生搬硬套

如果是学习脱壳，我还是建议你从压缩壳开始入手
另外，多熟悉工具的使用技巧

首先谢谢斑竹的及时回复，斑竹是个非常负责人、非常热心的人，再次谢谢！
我脱的壳就是本贴的目标壳，已经全部修复了，可是还是不能运行。

你把脱壳后的程序贴一下看看

谢谢。我把脱壳修复后的贴出来。夸系统平台的问题还没有修复。现在只是本机运行就出问题了。
晕，“由于你权限不够，不能使用附件功能。”我没有上传附件的权限，没办法。

找个网络E盘
BTW：自己跟踪一下看哪里出错

好吧，我先跟踪一下看看，不懂的地方及时请教你。

使用ESP定律，在12FFAC处的4个字节上下“硬件访问->Word”断点，F9运行

上面的。。怎样设断。

这两天俺也在搞这个壳，可就是弄不明白。。看到你的帖 子后。。还是弄不明白。。。

fly兄。你看看这个壳怎么脱。。
http://1000y.cyzy.cn/month/Cyzy-Sf.zip

补丁程序一定要留下来以备它用。

学习！

BTW:请问一下，为什么这篇精华的图标上写着一个蓝颜色的6？

最初由 xingbing 发布
谢谢。我把脱壳修复后的贴出来。夸系统平台的问题还没有修复。现在只是本机运行就出问题了。
晕，“由于你权限不够，不能使用附件功能。”我没有上传附件的权限，没办法。

请注意一下，补丁代码中有几个跳转地址需要修正。

这是我编译后的补丁代码，请对比一下和fly帖子中代码地址的细微差别，这会影响到有些跳转地址的正确性：

004B6000 A>  60                 pushad
004B6001     68 BD6E4B00        push ACP106CR.004B6EBD          ; ASCII "KERNEL32.DLL"
004B6006     FF15 98B14900      call dword ptr ds:[49B198]      ; KERNEL32.GetModuleHandleA
004B600C     A3 41644B00        mov dword ptr ds:[4B6441],eax
004B6011     68 EA6F4B00        push ACP106CR.004B6FEA          ; ASCII "USER32.DLL"
004B6016     FF15 98B14900      call dword ptr ds:[49B198]      ; KERNEL32.GetModuleHandleA
004B601C     A3 45644B00        mov dword ptr ds:[4B6445],eax
004B6021     BE 39704B00        mov esi,ACP106CR.004B7039
004B6026     AD                 lods dword ptr ds:[esi]
004B6027     3D FFFFFFFF        cmp eax,-1
004B602C   ^ 74 F8              je short ACP106CR.004B6026
004B602E     85C0               test eax,eax
004B6030     74 27              je short ACP106CR.004B6059
004B6032     50                 push eax
004B6033     25 00000080        and eax,80000000
004B6038     58                 pop eax
004B6039     8B15 41644B00      mov edx,dword ptr ds:[4B6441]
004B603F     74 06              je short ACP106CR.004B6047
004B6041     8B15 45644B00      mov edx,dword ptr ds:[4B6445]
004B6047     25 FFFFFF7F        and eax,7FFFFFFF
004B604C     50                 push eax
004B604D     52                 push edx
004B604E     FF15 94B14900      call dword ptr ds:[49B194]      ; KERNEL32.GetProcAddress
004B6054     8946 FC            mov dword ptr ds:[esi-4],eax
004B6057   ^ EB CD              jmp short ACP106CR.004B6026
004B6059     B8 23714B00        mov eax,ACP106CR.004B7123
004B605E     A3 74B54900        mov dword ptr ds:[49B574],eax
004B6063     A3 00B24900        mov dword ptr ds:[49B200],eax
004B6068     61                 popad
004B6069   - E9 0213FDFF        jmp ACP106CR.00487370

其实还有更简便的方法来修复这部分“壳中之壳”所使用的函数

最初由 fly 发布
其实还有更简便的方法来修复这部分“壳中之壳”所使用的函数

是将那部分函数填入修复后的IAT吗？

等几分钟

《ACProtect脱壳――同益起名大师 V3.36》
看其中的“处理壳中之壳所使用的函数”

汗。。。跨平台那部分看不懂啊~老大做个动画吧~

没有时间来制作动画
并且有些东西是动画所无法表达清楚的