http://s1.52pan.com/data/2009/6/1/135757/Wma.rar

上面那个是单一的EXE文件来的。可以运行。可能有些电脑没有DLL文件。所以下载下面这个。放在一齐就可以运行了。谢谢。

http://s1.52pan.com/data/2009/6/1/14846/新建文件夹.rar　

ASPack 2.12 -> Alexey Solodovnikov

脱壳时找到了OEP了。用的是ESP定律法。很快就找到了。

004029A8     68 FC314000   push 1Tx57Wma.004031FC
004029AD     E8 EEFFFFFF   call 1Tx57Wma.004029A0                           ; jmp to msvbvm60.ThunRTMain

OEP修正为　29A8

但是脱掉后。怎么运行不了呢。。

然后我就用ImportREC数据修复1.7汉化版　来修复。

在OEP中输入　000029A8　然后自动搜　再然后就获取输入表。再点击　显示无效函数。

看到有三个。其中有两个是无效的。

我把无效的写出来。

? FThunk:000012A8 NbFunc:2  (十进制: 2) 有效:无
　rva:000012A8   ptr:00140025
   rva:000012AC   ptr:0040E0CF

? FThunk:000012B4  NbFunc:1  (十进制: 1) 有效:无

  rva:000012B4   ptr:0040E0D6

像这样的。我看过一些文章。说到。文章地址是http://hi.baidu.com/wukong90/blog/item/3e16abc8c047f1147e3e6fc5.html　　有兴趣的朋友可以看一下。

文章说到：　ctrl+F2重新载入加壳程序
先在命令行下he eip （这是为了方便找到OEP）
命令行下dd 4BE4E4 （即上面无效函数的rav+基址）＝＝这里在我的软件中应怎样组合？？

为什么在脱壳后不能修复呢？很简单，加壳程序肯定对这个函数进行处理了
跟踪一下就知道了，在数据窗口单击鼠标右键------>断点------->硬件访问断点------>word

F9运行程序，硬件中断

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝我很郁闷。在这里。我是菜菜。怎样。在哪里用mov 这个啊。这个又是怎样来的。晕。

发现函数被替代了，到这里，我们可以知道加壳程序在004EE255     8902               mov dword ptr ds:[edx],eax处对函数进行处理要避开其对函数的处理，将其NOP掉即可。

     OD重新载入加壳程序，按Ctrl+G到004EE255处，将其nop掉，然后继续脱壳，再用ImportREC F1.6修复的时候你会发现刚才那个指针没了，但是又多出一个错误指针，rva:000BE558   ptr:004EE337，看来还有一处，那我们就按上面的方法再次跟踪下就行啦

     重新载入，跟踪发现在这004EE22E     8902               mov dword ptr ds:[edx],eax处理了函数，现在我们再次重新载入程序，先把004EE255和004EE22E这2处NOP掉，再继续脱壳，脱完再用ImportREC F1.6是不是可以找到所有有效函数了？再进行修复，OK，成功运行！

将其nop掉，然后继续脱壳，再用ImportREC F1.6修复的时候你会发现刚才那个指针没了　　这个NOP又是什么。如何操作。。我找过说会脱壳的朋友。怎样才能。他们也没说明。郁闷啊。。

像我的软件那样。我怎样才可以搞到我的软件可以脱壳了运行呢。还有。在修复当中。如何修复无效函数呢。晕。。　

如可以。会的朋友。帮忙做个动画来演示一下嘛。或在跟贴。请教一下。。真的很感谢。我以郁闷好几天了。

http://www.52pan.com/　这个是网盘。如搞好。可以上传到这个网盘里。共给大家学习一下嘛。。再次感谢谢。。

[课程]FART 脱壳王！加量不加价！FART作者讲授！