try   

附件:Notepad.rar

晕，OEP是7FF79e04 ？
这个怎么dump啊？
关注

楼上的被误导了

找OEP锁定4010CC，不知道这种办法算不算很无赖

呵呵，用记事本加壳就这个好处
可以和原版来比对脱壳
但是要找到方法

用PEID看后的结果是“什么都没找着  [重叠]    *”

我听说是抽了代码？？？？

最初由 xiaoxinxin 发布
我听说是抽了代码？？？？

NO

7FF4288A    FFB5 48FCFFFF   PUSH DWORD PTR SS:[EBP-3B8]
7FF42890    68 6866F87F     PUSH 7FF86668                            ; ASCII "APISPY: Calling EXE Entry Point %x
"
7FF42895    E8 F6180000     CALL 7FF44190
7FF4289A    59              POP ECX
7FF4289B    59              POP ECX
7FF4289C    FF95 48FCFFFF   CALL NEAR DWORD PTR SS:[EBP-3B8] /////跳向入口!
7FF428A2    6A 00           PUSH 0
7FF428A4    E8 0A4D0200     CALL 7FF675B3
7FF428A9    83A5 44FCFFFF 0>AND DWORD PTR SS:[EBP-3BC],0
7FF428B0    8065 FC 00      AND BYTE PTR SS:[EBP-4],0
7FF428B4    83BD D4FDFFFF 0>CMP DWORD PTR SS:[EBP-22C],0
7FF428BB    74 12           JE SHORT 7FF428CF

附到入口的脚本。附件:OS.rar 附件:OS.rar

嗯  不错
看看输入表的几个函数以及资源部分数据如何取巧修复

我再试试：)

对VisualProctex下断，
观察00406000出的变化，第一次发生变化后
用LOADPE抓下来，
然后到入口出用OD的DUMP抓下来，不要重建IAT，
然后用UE替换，
用LOADPE重建一下

呵呵~~在壳还没有改变IAT的时候dump~~
高~~实在是高~:D

最初由 d1y2j3 发布
对VisualProctex下断，
观察00406000出的变化，第一次发生变化后
用LOADPE抓下来，
然后到入口出用OD的DUMP抓下来，不要重建IAT，
然后用UE替换，
........

看不懂

最初由 fly 发布
嗯 不错
看看输入表的几个函数以及资源部分数据如何取巧修复

有原版对照是好啊，那个new protection弄得我
莫名其妙:(

这个notepad,我在oep dump的。几个api,用ImportRec
直接反编译一下,凑合了:)

那个new protection是个大杂烩
呵呵

BTW：softworm 收到我在exetools给你的留言不

我很少注意PM:(

这下看到了,可以发到我的邮箱吗?
谢谢!:D

邮件收到,谢谢!

另外,本文的办法似乎不足以对付
new protection。我拿到了明文
的DLL2.dll,感觉还早得很。不
知道那个高手是如何在15分钟内
拿下的。

游戏?