坛里早就有这样的脱壳机了。

额,我觉得用拖壳机脱,虽然轻松脱掉.但是你的脱壳技术没提高.我关键是想手脱呵呵~~

这个壳手也脱了,既然壳能用脱壳机就用吧,时间要钻出来,脱壳机能脱的就是简单的壳了,留时间研究复杂的壳吧

但是脱壳后.它还有一层壳 不知如何处理.找了相关的文章,好象没有!

没有高手解答吗?

我刚试了一下，我也不会脱。期待高手

0056FDE8 >  9C              pushfd                            //  OD载入 停在这
0056FDE9    60              pushad
0056FDEA    E8 00000000     call F2.0056FDEF    //单步两下  这时候FPU里的ESP值凸显  0012ffa0

右键点ESP  在数据窗口跟随（在转存窗口跟随）
数据窗口（转存窗口）  停在  0012ffa0  对它点右键 —》 断点—》 设置硬件访问断点—word
或者 直接在命令窗口  hr 0012ffa0

接着SHITF+F9

运行到下断处。

00570059    9D              popfd                                    //停在这，工具窗口  调试 硬件断点 删除。。
0057005A  - E9 995DFFFF     jmp F2.00565DF8                          //一个大跳，跳到OEP
0057005F    8BB5 D0FBFFFF   mov esi,dword ptr ss:[ebp-430]

F8单步两次  到达OEP

00565DF8   .  68 51FD5765   push 6557FD51                                //OEP
00565DFD   .  E8 714F0000   call F2.0056AD73
00565E02   >  C7            ???                                      ;  未知命令
00565E03      63            db 63                                    ;  CHAR 'c'
00565E04      0C            db 0C
00565E05      DF            db DF
00565E06      9E            db 9E

这时

多选几行  点右键—》分析—》从模块删除分析  

这样反汇编代码就出来了。

00565DF8    68 51FD5765     push 6557FD51                            //个人感觉不是真正的OEP  但是脱壳后  运行不出错 。。 郁闷
00565DFD    E8 714F0000     call F2.0056AD73
00565E02    C7              ???                                      ; 未知命令
00565E03    630CDF          arpl word ptr ds:[edi+ebx*8],cx
00565E06    9E              sahf

右键 脱壳。。

















我用OD插件脱的

好像可以运行的。。。

呵呵,是可以运行.谢谢楼上的大大解说这么详细.
我运行了下它里面好象还有个自效验,开起来就自动关了.