你在看雪里面搜索一下，或者去看 《看雪精华1-9》，就有答案了。

再或者你百度一下。满互联网都有你要的答案。

1000D9C5 > 60 pushad                                ; OD载入以后，停在这里。
1000D9C6 E8 09000000 call E0D39066.1000D9D4         ; ESP定律搞死它
1000D9CB 43 inc ebx
1000D9CC D800 fadd dword ptr ds:[eax]
1000D9CE 00E9 add cl,ch
1000D9D0 06 push es
1000D9D1 0200 add al,byte ptr ds:[eax]
1000D9D3 0033 add byte ptr ds:[ebx],dh
1000D9D5 C9 leave
1000D9D6 5E pop esi
1000D9D7 870E xchg dword ptr ds:[esi],ecx
1000D9D9 ^ E3 F4 jecxz short E0D39066.1000D9CF

===========================================
1000DBD8 ^\E2 F3 loopd short E0D39066.1000DBCD
1000DBDA 61 popad
1000DBDB - E9 D370FFFF jmp E0D39066.10004CB3       ; Esp定律后，停在这里，飞向OEP

10004CB3 55 push ebp                               ; OEP
10004CB4 8BEC mov ebp,esp
10004CB6 53 push ebx
10004CB7 8B5D 08 mov ebx,dword ptr ss:[ebp+8]
10004CBA 56 push esi
10004CBB 8B75 0C mov esi,dword ptr ss:[ebp+C]
10004CBE 57 push edi
10004CBF 8B7D 10 mov edi,dword ptr ss:[ebp+10]
10004CC2 85F6 test esi,esi
10004CC4 75 09 jnz short E0D39066.10004CCF
10004CC6 833D 74680010 0>cmp dword ptr ds:[10006874],0
10004CCD EB 26 jmp short E0D39066.10004CF5
10004CCF 83FE 01 cmp esi,1
10004CD2 74 05 je short E0D39066.10004CD9

dump后，PEId查壳 Microsoft Visual C++ 6.0 DLL

附件： dump.rar

因为没有exe文件，没法测试其是否可以运行，但是方法就是这个方法。如果不能运行，可能涉及到重定位。解决方法，问百度。

上传的附件：

• dump.rar （29.49kb，15次下载）

多谢楼上的，抓紧学习ing