没这么复杂吧？测试一下就知了：
在执行正常的notepad.exe的1006ae0前push几个数，再回1006ae0运行程序是没问题的~~~~~~

那还需要disasm吧……这个不管，就帮忙看看Thread...:D

有没有线程同步？

不需要同步啊.只是为了切换堆栈并且让OD掉线.

008700F6    6A 00           PUSH 0
008700F8    54              PUSH ESP
008700F9    6A 00           PUSH 0
008700FB    6A 00           PUSH 0
008700FD    68 88344000     PUSH 403488
00870102    6A 00           PUSH 0
00870104    6A 00           PUSH 0
00870106    FF95 D1324000   CALL DWORD PTR SS:[EBP+4032D1]  // CreateThread
0087010C    8BBD CA334000   MOV EDI,DWORD PTR SS:[EBP+4033CA]        ; ntdll.ZwSetInformationThread
00870112    0BFF            OR EDI,EDI
00870114    74 09           JE SHORT 0087011F
00870116    6A 00           PUSH 0
00870118    6A 00           PUSH 0
0087011A    6A 11           PUSH 11
0087011C    50              PUSH EAX
0087011D    FFD7            CALL EDI
0087011F    FF95 F1324000   CALL DWORD PTR SS:[EBP+4032F1]  // GetCurrentThread
00870125    50              PUSH EAX
00870126    FF95 E2324000   CALL DWORD PTR SS:[EBP+4032E2]  // ExitThread

CreateThread 后在 OD 里怎么看不到啊?
不是立刻执行的吗? 已跳过 zwSetInformationThread

汗~~~帖这个出来干嘛?

0101301B    FF95 3A284000   CALL DWORD PTR SS:[EBP+40283A]

XP的notepad测试：在ebp+40283a处的地址无效。

不会吧^
大概动态地址太高搞出火了...

The ExitThread function ends a thread.

VOID ExitThread(
  DWORD dwExitCode   // exit code for this thread
);

Parameters
dwExitCode
Specifies the exit code for the calling thread. Use the GetExitCodeThread function to retrieve a thread's exit code.
Return Values
This function does not return a value.

Remarks
ExitThread is the preferred method of exiting a thread. When this function is called (either explicitly or by returning from a thread procedure), the current thread's stack is deallocated and the thread terminates. The entry-point function of all attached dynamic-link libraries (DLLs) is invoked with a value indicating that the thread is detaching from the DLL.

If the thread is the last thread in the process when this function is called, the thread's process is also terminated.

The state of the thread object becomes signaled, releasing any other threads that had been waiting for the thread to terminate. The thread's termination status changes from STILL_ACTIVE to the value of the dwExitCode parameter.

Terminating a thread does not necessarily remove the thread object from the operating system. A thread object is deleted when the last handle to the thread is closed.

各种方法都有其局限性的
ESP定律 更不是万能的  :D

能防一个是一个:o

果然高手云集,郁闷中!!!!!~

esp定律是什么?

之后再popad，你只要用硬件断点设断在ESP栈顶的值，在popad时将出现的，这之后就要进真正程序的OEP了。

老兄的防止OD 的想法很不错啊，通过CreateThread 来把stack 搞的不常规。 不过通过CreateThread 的方法可能存在问题。
EntryPoint 应该是主Thread 的入口地址，这个Thread 是每一个Process 都应该有的，而且这个地址是由OS 指定给Main Thread 的，所以，当你在Create 一个Thread 指向同一个地址，这样运行的结果就是主程序是不可控的，或者说是很难控制的。所以通过这样的方法，存在问题的可能性几乎是100％ 。创建的线程和Main Thread 的地址空间相同，需要你自己在程序中加入很多同步的方法，使得Main Thread 和你Create 的Thread 同步。 这样的方法应该没有通用型。 ：――）

Oh...I see.谢谢comelysouthchin的回答。

最初由 nig 发布
之后再popad，你只要用硬件断点设断在ESP栈顶的值，在popad时将出现的，这之后就要进真正程序的OEP了。

土问一下，这样不怕解压过程中，用SEH查控制寄存器么？

最初由 xuanqing 发布

土问一下，这样不怕解压过程中，用SEH查控制寄存器么？

那就靠人为避开了

多谢版主指点
也就是说ESP只是一个
判断是否OEP的可用的线索而已
对吧