路过，下载了，看了下，搞不定

先在数据 DATA段 F2下段 F9运行，然后CODE 段F2下段F9运行，然后F8单步（不往上跳 ）直接跳到OEP 0045671C 找到IAT
OEP

0045671C    55              PUSH EBP
0045671D    8BEC            MOV EBP,ESP
0045671F    83C4 F0         ADD ESP,-10
00456722    B8 C4524500     MOV EAX,004552C4
00456727    E8 A0FEFAFF     CALL 004065CC
0045672C    A1 88894500     MOV EAX,DWORD PTR DS:[458988]
00456731    8B00            MOV EAX,DWORD PTR DS:[EAX]
00456733    E8 80CAFFFF     CALL 004531B8
00456738    A1 88894500     MOV EAX,DWORD PTR DS:[458988]
0045673D    8B00            MOV EAX,DWORD PTR DS:[EAX]
0045673F    B2 01           MOV DL,1
00456741    E8 5AE8FFFF     CALL 00454FA0
00456746    8B0D 748A4500   MOV ECX,DWORD PTR DS:[458A74]            ; 试验_加?0045DCC8
0045674C    A1 88894500     MOV EAX,DWORD PTR DS:[458988]
00456751    8B00            MOV EAX,DWORD PTR DS:[EAX]
00456753    8B15 24514500   MOV EDX,DWORD PTR DS:[455124]            ; 试验_加?00455170
00456759    E8 72CAFFFF     CALL 004531D0
0045675E    A1 88894500     MOV EAX,DWORD PTR DS:[458988]
00456763    8B00            MOV EAX,DWORD PTR DS:[EAX]
00456765    E8 9ECBFFFF     CALL 00453308
0045676A    E8 B1DFFAFF     CALL 00404720

004065CC   .  53            PUSH EBX
004065CD   .  8BD8          MOV EBX,EAX
004065CF   .  33C0          XOR EAX,EAX
004065D1   .  A3 88774500   MOV DWORD PTR DS:[457788],EAX
004065D6   .  6A 00         PUSH 0
004065D8   .  E8 2BFFFFFF   CALL 00406508

0045E6C8  00000000
0045E6CC  770F4880  oleaut32.SysFreeString
0045E6D0  770FA3EC  oleaut32.SysReAllocStringLen
0045E6D4  770F4B39  oleaut32.SysAllocStringLen
0045E6D8  00000000
0045E6DC  77DA7ABB  advapi32.RegQueryValueExA
0045E6E0  77DA7852  advapi32.RegOpenKeyExA
0045E6E4  77DA6C27  advapi32.RegCloseKey
0045E6E8  00000000
0045E6EC  77D311DB  user32.GetKeyboardType
0045E6F0  77D2B19C  user32.DestroyWindow
0045E6F4  77D2C908  user32.LoadStringA
0045E6F8  77D507EA  user32.MessageBoxA
0045E6FC  77D2C8B0  user32.CharNextA
0045E700  00000000
0045E704  7C8099B5  kernel32.GetACP
0045E708  7C802446  kernel32.Sleep
0045E70C  7C809B84  kernel32.VirtualFree
0045E710  7C809AF1  kernel32.VirtualAlloc
0045E714  7C8097D0  kernel32.GetCurrentThreadId
0045E718  7C80981A  kernel32.InterlockedDecrement
0045E71C  7C809806  kernel32.InterlockedIncrement
0045E720  7C80BA71  kernel32.VirtualQuery
0045E724  7C80A174  kernel32.WideCharToMultiByte
0045E728  7C809C98  kernel32.MultiByteToWideChar
0045E72C  7C80BE56  kernel32.lstrlenA
0045E730  7C8101B1  kernel32.lstrcpynA
0045E734  7C801D53  kernel32.LoadLibraryExA
0045E738  7C80A4B5  kernel32.GetThreadLocale
0045E73C  7C801EF2  kernel32.GetStartupInfoA
0045E740  7C80AE40  kernel32.GetProcAddress
0045E744  7C80B741  kernel32.GetModuleHandleA
0045E748  7C80B56F  kernel32.GetModuleFileNameA
0045E74C  7C80D302  kernel32.GetLocaleInfoA
0045E750  7C812FBD  kernel32.GetCommandLineA
0045E754  7C80AC7E  kernel32.FreeLibrary
0045E758  7C813879  kernel32.FindFirstFileA
0045E75C  7C80EE77  kernel32.FindClose
0045E760  7C81CB12  kernel32.ExitProcess
0045E764  7C80D117  kernel32.CompareStringA
0045E768  7C810E27  kernel32.WriteFile
0045E76C  7C863FCA  kernel32.UnhandledExceptionFilter
0045E770  7C954192  ntdll.RtlUnwind
0045E774  7C812AA9  kernel32.RaiseException
0045E778  7C812FD9  kernel32.GetStdHandle
0045E77C  00000000
0045E780  7C809C65  kernel32.TlsSetValue
0045E784  7C8097E0  kernel32.TlsGetValue
0045E788  7C809A2D  kernel32.LocalAlloc
0045E78C  7C80B741  kernel32.GetModuleHandleA
0045E790  00000000
0045E794  77D2E4A9  user32.CreateWindowExA
0045E798  77D29766  user32.WindowFromPoint
0045E79C  77D1940C  user32.WaitMessage
0045E7A0  77D2AEAB  user32.UpdateWindow
0045E7A4  77D289A3  user32.UnregisterClassA
0045E7A8  77D2D5F3  user32.UnhookWindowsHookEx
0045E7AC  77D18BF6  user32.TranslateMessage
0045E7B0  77D2FB2F  user32.TranslateMDISysAccel
0045E7B4  77D6531E  user32.TrackPopupMenu
0045E7B8  77D2DEB2  user32.SystemParametersInfoA
0045E7BC  77D2AF56  user32.ShowWindow
0045E7C0  77D2F2F2  user32.ShowScrollBar
0045E7C4  77D561E6  user32.ShowOwnedPopups
0045E7C8  77D31211  user32.SetWindowsHookExA
0045E7CC  77D2F56B  user32.SetWindowTextA
0045E7D0  77D299F3  user32.SetWindowPos
0045E7D4  77D1DE46  user32.SetWindowPlacement
0045E7D8  77D2C2BB  user32.SetWindowLongW
0045E7DC  77D2C29D  user32.SetWindowLongA
0045E7E0  77D18C2E  user32.SetTimer
0045E7E4  77D2F99B  user32.SetScrollRange
0045E7E8  77D2F750  user32.SetScrollPos
0045E7EC  77D19056  user32.SetScrollInfo
0045E7F0  77D28FA6  user32.SetRect
0045E7F4  77D30000  user32.SetPropA
0045E7F8  77D2C7F9  user32.SetParent
0045E7FC  77D6AE5E  user32.SetMenuItemInfoA
0045E800  77D4F3F6  user32.SetMenu
0045E804  77D242ED  user32.SetForegroundWindow
0045E808  77D2B112  user32.SetFocus
0045E80C  77D29930  user32.SetCursor
0045E810  77D2FE71  user32.SetClassLongA
0045E814  77D2C35E  user32.SetCapture
0045E818  77D27822  user32.SetActiveWindow
0045E81C  77D2929A  user32.SendMessageW
0045E820  77D2F3C2  user32.SendMessageA
0045E824  77D2FF39  user32.ScrollWindow
0045E828  77D297A0  user32.ScreenToClient
0045E82C  77D30094  user32.RemovePropA
0045E830  77D1F716  user32.RemoveMenu
0045E834  77D1869D  user32.ReleaseDC
0045E838  77D2C37A  user32.ReleaseCapture
0045E83C  77D18E28  user32.RegisterWindowMessageA
0045E840  77D18E28  user32.RegisterWindowMessageA
0045E844  77D2EA5E  user32.RegisterClassA
0045E848  77D29944  user32.RedrawWindow
0045E84C  77D29719  user32.PtInRect
0045E850  77D2CA5A  user32.PostQuitMessage
0045E854  77D2AAFD  user32.PostMessageA
0045E858  77D1929B  user32.PeekMessageW
0045E85C  77D2A340  user32.PeekMessageA
0045E860  77D29011  user32.OffsetRect
0045E864  77D300D7  user32.OemToCharA
0045E868  77D507EA  user32.MessageBoxA
0045E86C  77D29507  user32.MapWindowPoints
0045E870  77D2FEEA  user32.MapVirtualKeyA
0045E874  77D2C908  user32.LoadStringA
0045E878  77D56262  user32.LoadKeyboardLayoutA
0045E87C  77D2E8F6  user32.LoadIconA
0045E880  77D2D33E  user32.LoadCursorA
0045E884  77D2473C  user32.LoadBitmapA
0045E888  77D18C42  user32.KillTimer
0045E88C  77D29C8A  user32.IsZoomed
0045E890  77D29E3D  user32.IsWindowVisible
0045E894  77D29F72  user32.IsWindowUnicode
0045E898  77D2977A  user32.IsWindowEnabled
0045E89C  77D29313  user32.IsWindow
0045E8A0  77D298FE  user32.IsRectEmpty
0045E8A4  77D297FF  user32.IsIconic
0045E8A8  77D27424  user32.IsDialogMessageW
0045E8AC  77D3C689  user32.IsDialogMessageA
0045E8B0  77D1970E  user32.IsChild
0045E8B4  77D28FD5  user32.InvalidateRect
0045E8B8  77D28F1F  user32.IntersectRect
0045E8BC  77D4F710  user32.InsertMenuItemA
0045E8C0  77D3ED26  user32.InsertMenuA
0045E8C4  77D298D5  user32.InflateRect
0045E8C8  77D18A80  user32.GetWindowThreadProcessId
0045E8CC  77D3216B  user32.GetWindowTextA
0045E8D0  77D290B4  user32.GetWindowRect
0045E8D4  77D303C7  user32.GetWindowPlacement
0045E8D8  77D188A6  user32.GetWindowLongW
0045E8DC  77D1945D  user32.GetWindowLongA
0045E8E0  77D19021  user32.GetWindowDC
0045E8E4  77D2F25B  user32.GetTopWindow
0045E8E8  77D18F9C  user32.GetSystemMetrics
0045E8EC  77D2B222  user32.GetSystemMenu
0045E8F0  77D18EAB  user32.GetSysColorBrush
0045E8F4  77D18E78  user32.GetSysColor
0045E8F8  77D2D896  user32.GetSubMenu
0045E8FC  77D2F787  user32.GetScrollRange
0045E900  77D2F704  user32.GetScrollPos
0045E904  77D2DFE2  user32.GetScrollInfo
0045E908  77D30042  user32.GetPropA
0045E90C  77D2910F  user32.GetParent
0045E910  77D29655  user32.GetWindow
0045E914  77D2996C  user32.GetMessagePos
0045E918  77D4F24E  user32.GetMenuStringA
0045E91C  77D1F967  user32.GetMenuState
0045E920  77D2F0AD  user32.GetMenuItemInfoA
0045E924  77D4F1C8  user32.GetMenuItemID
0045E928  77D2EF1C  user32.GetMenuItemCount
0045E92C  77D314BA  user32.GetMenu
0045E930  77D3157A  user32.GetLastActivePopup
0045E934  77D2D226  user32.GetKeyboardState
0045E938  77D53631  user32.GetKeyboardLayoutNameA
0045E93C  77D29C1B  user32.GetKeyboardLayoutList
0045E940  77D29BF6  user32.GetKeyboardLayout
0045E944  77D29ED9  user32.GetKeyState
0045E948  77D4F6B4  user32.GetKeyNameTextA
0045E94C  77D2D427  user32.GetIconInfo
0045E950  77D29823  user32.GetForegroundWindow
0045E954  77D298C8  user32.GetFocus
0045E958  77D2D1D2  user32.GetDesktopWindow
0045E95C  77D2C595  user32.GetDCEx
0045E960  77D186C7  user32.GetDC
0045E964  77D2974E  user32.GetCursorPos
0045E968  77D2A91B  user32.GetCursor
0045E96C  77D2908E  user32.GetClientRect
0045E970  77D2F4F1  user32.GetClassLongA
0045E974  77D3EBFF  user32.GetClassInfoA
0045E978  77D194DA  user32.GetCapture
0045E97C  77D2C2E8  user32.GetActiveWindow
0045E980  77D2F92A  user32.FrameRect
0045E984  77D282E1  user32.FindWindowA
0045E988  77D29C2F  user32.FillRect
0045E98C  77D29E81  user32.EqualRect
0045E990  77D2A5AE  user32.EnumWindows
0045E994  77D2F539  user32.EnumThreadWindows
0045E998  77D2B0F0  user32.EnumChildWindows
0045E99C  77D28FFD  user32.EndPaint
0045E9A0  77D29849  user32.EnableWindow
0045E9A4  77D68005  user32.EnableScrollBar
0045E9A8  77D2D2C4  user32.EnableMenuItem
0045E9AC  77D3C702  user32.DrawTextA
0045E9B0  77D4F69C  user32.DrawMenuBar
0045E9B4  77D2CB84  user32.DrawIconEx
0045E9B8  77D3D06C  user32.DrawIcon
0045E9BC  77D3E940  user32.DrawFrameControl
0045E9C0  77D2FBF6  user32.DrawEdge
0045E9C4  77D18A01  user32.DispatchMessageW
0045E9C8  77D196B8  user32.DispatchMessageA
0045E9CC  77D2B19C  user32.DestroyWindow
0045E9D0  77D2D39D  user32.DestroyMenu
0045E9D4  77D2D312  user32.DestroyIcon
0045E9D8  77D2D312  user32.DestroyIcon
0045E9DC  77D2CED3  user32.DeleteMenu
0045E9E0  77D2C17E  user32.DefWindowProcA
0045E9E4  77D4F9B4  user32.DefMDIChildProcA
0045E9E8  77D4F965  user32.DefFrameProcA
0045E9EC  77D1F601  user32.CreatePopupMenu
0045E9F0  77D2F306  user32.CreateMenu
0045E9F4  77D570BC  user32.CreateIcon
0045E9F8  77D29B60  user32.ClientToScreen
0045E9FC  77D31ABD  user32.CheckMenuItem
0045EA00  77D2A97D  user32.CallWindowProcA
0045EA04  77D2B3C6  user32.CallNextHookEx
0045EA08  77D28FE9  user32.BeginPaint
0045EA0C  77D2C8B0  user32.CharNextA
0045EA10  77D28717  user32.CharLowerA
0045EA14  77D1AEF1  user32.CharToOemA
0045EA18  77D2E7EA  user32.AdjustWindowRectEx
0045EA1C  77D28673  user32.ActivateKeyboardLayout
0045EA20  00000000
0045EA24  77EFD837  gdi32.UnrealizeObject
0045EA28  77EFB6D0  gdi32.StretchBlt
0045EA2C  77EF8E14  gdi32.SetWindowOrgEx
0045EA30  77EF7B4C  gdi32.SetViewportOrgEx
0045EA34  77EF5D77  gdi32.SetTextColor
0045EA38  77EF8597  gdi32.SetStretchBltMode
0045EA3C  77EFD8D0  gdi32.SetROP2
0045EA40  77EFB84B  gdi32.SetPixel
0045EA44  77F0C7E6  gdi32.SetDIBColorTable
0045EA48  77EF87EC  gdi32.SetBrushOrgEx
0045EA4C  77EF5EDB  gdi32.SetBkMode
0045EA50  77EF5E29  gdi32.SetBkColor
0045EA54  77EF8632  gdi32.SelectPalette
0045EA58  77EF5B70  gdi32.SelectObject
0045EA5C  77EF8BEE  gdi32.SaveDC
0045EA60  77EF8B28  gdi32.RestoreDC
0045EA64  77EF821B  gdi32.RectVisible
0045EA68  77EFEA5B  gdi32.RealizePalette
0045EA6C  77EF869B  gdi32.PatBlt
0045EA70  77EFA21A  gdi32.MoveToEx
0045EA74  77EFA0C1  gdi32.MaskBlt
0045EA78  77EFD997  gdi32.LineTo
0045EA7C  77EF6A56  gdi32.IntersectClipRect
0045EA80  77EFDA1E  gdi32.GetWindowOrgEx
0045EA84  77EFDF45  gdi32.GetTextMetricsA
0045EA88  77EFEF1C  gdi32.GetTextExtentPoint32A
0045EA8C  77EFBA9E  gdi32.GetSystemPaletteEntries
0045EA90  77EF61C1  gdi32.GetStockObject
0045EA94  77EFD6E9  gdi32.GetRgnBox
0045EA98  77EFB74C  gdi32.GetPixel
0045EA9C  77EFB61A  gdi32.GetPaletteEntries
0045EAA0  77EF8D25  gdi32.GetObjectA
0045EAA4  77EF5A71  gdi32.GetDeviceCaps
0045EAA8  77EF9FA5  gdi32.GetDIBits
0045EAAC  77EFB1DE  gdi32.GetDIBColorTable
0045EAB0  77EFD9EF  gdi32.GetDCOrgEx
0045EAB4  77F0EE75  gdi32.GetCurrentPositionEx
0045EAB8  77EF6AA1  gdi32.GetClipBox
0045EABC  77EF99F6  gdi32.GetBrushOrgEx
0045EAC0  77EFAAF4  gdi32.GetBitmapBits
0045EAC4  77EF90EC  gdi32.ExcludeClipRect
0045EAC8  77EF6BFA  gdi32.DeleteObject
0045EACC  77EF6E5F  gdi32.DeleteDC
0045EAD0  77EF61A5  gdi32.CreateSolidBrush
0045EAD4  77F0797C  gdi32.CreatePenIndirect
0045EAD8  77EFB5EA  gdi32.CreatePalette
0045EADC  77EFBA8A  gdi32.CreateHalftonePalette
0045EAE0  77EFECCE  gdi32.CreateFontIndirectA
0045EAE4  77EFAD23  gdi32.CreateDIBitmap
0045EAE8  77EF9E19  gdi32.CreateDIBSection
0045EAEC  77EF5FE0  gdi32.CreateCompatibleDC
0045EAF0  77EF700A  gdi32.CreateCompatibleBitmap
0045EAF4  77EFD969  gdi32.CreateBrushIndirect
0045EAF8  77EF61EF  gdi32.CreateBitmap
0045EAFC  77EF6F79  gdi32.BitBlt
0045EB00  00000000
0045EB04  77BD18AA  version.VerQueryValueA
0045EB08  77BD19EF  version.GetFileVersionInfoSizeA
0045EB0C  77BD1A40  version.GetFileVersionInfoA
0045EB10  00000000
0045EB14  7C80BEA1  kernel32.lstrcpyA
0045EB18  7C810E27  kernel32.WriteFile
0045EB1C  7C802530  kernel32.WaitForSingleObject
0045EB20  7C80BA71  kernel32.VirtualQuery
0045EB24  7C809AF1  kernel32.VirtualAlloc
0045EB28  7C80BD09  kernel32.SizeofResource
0045EB2C  7C81B8F2  kernel32.SetThreadLocale
0045EB30  7C810C2E  kernel32.SetFilePointer
0045EB34  7C80A0B7  kernel32.SetEvent
0045EB38  7C80ACAF  kernel32.SetErrorMode
0045EB3C  7C832076  kernel32.SetEndOfFile
0045EB40  7C80A0DB  kernel32.ResetEvent
0045EB44  7C801812  kernel32.ReadFile
0045EB48  7C809866  kernel32.MulDiv
0045EB4C  7C80CD37  kernel32.SetHandleCount
0045EB50  7C80A055  kernel32.LoadResource
0045EB54  7C801D7B  kernel32.LoadLibraryA
0045EB58  7C9210E0  ntdll.RtlLeaveCriticalSection
0045EB5C  7C809F91  kernel32.InitializeCriticalSection
0045EB60  7C8360F3  kernel32.GlobalFindAtomA
0045EB64  7C830BC3  kernel32.GlobalDeleteAtom
0045EB68  7C8360D9  kernel32.GlobalAddAtomA
0045EB6C  7C812B7E  kernel32.GetVersionExA
0045EB70  7C81127A  kernel32.GetVersion
0045EB74  7C80934A  kernel32.GetTickCount
0045EB78  7C80A4B5  kernel32.GetThreadLocale
0045EB7C  7C812FD9  kernel32.GetStdHandle
0045EB80  7C80AE40  kernel32.GetProcAddress
0045EB84  7C80B741  kernel32.GetModuleHandleA
0045EB88  7C80B56F  kernel32.GetModuleFileNameA
0045EB8C  7C80D302  kernel32.GetLocaleInfoA
0045EB90  7C80A874  kernel32.GetLocalTime
0045EB94  7C92FE21  ntdll.RtlGetLastWin32Error
0045EB98  7C81399C  kernel32.GetFullPathNameA
0045EB9C  7C8302F5  kernel32.GetDiskFreeSpaceA
0045EBA0  7C83621E  kernel32.GetDateFormatA
0045EBA4  7C8097D0  kernel32.GetCurrentThreadId
0045EBA8  7C8099C0  kernel32.GetCurrentProcessId
0045EBAC  7C812F16  kernel32.GetCPInfo
0045EBB0  7C8260C2  kernel32.FreeResource
0045EBB4  7C80982E  kernel32.InterlockedExchange
0045EBB8  7C80AC7E  kernel32.FreeLibrary
0045EBBC  7C82F7A8  kernel32.FormatMessageA
0045EBC0  7C80BF29  kernel32.FindResourceA
0045EBC4  7C838241  kernel32.EnumCalendarInfoA
0045EBC8  7C921000  ntdll.RtlEnterCriticalSection
0045EBCC  7C9313B1  ntdll.RtlDeleteCriticalSection
0045EBD0  7C8106D7  kernel32.CreateThread
0045EBD4  7C801A28  kernel32.CreateFileA
0045EBD8  7C8308B5  kernel32.CreateEventA
0045EBDC  7C80D117  kernel32.CompareStringA
0045EBE0  7C809BE7  kernel32.CloseHandle
0045EBE4  00000000
0045EBE8  77DA7ABB  advapi32.RegQueryValueExA
0045EBEC  77DA7852  advapi32.RegOpenKeyExA
0045EBF0  77DC4CE0  advapi32.RegFlushKey
0045EBF4  77DA6C27  advapi32.RegCloseKey
0045EBF8  00000000
0045EBFC  7C802446  kernel32.Sleep
0045EC00  00000000
0045EC04  770FAB10  oleaut32.SafeArrayPtrOfIndex
0045EC08  770F515A  oleaut32.SafeArrayGetUBound
0045EC0C  770F51A6  oleaut32.SafeArrayGetLBound
0045EC10  770FAA55  oleaut32.SafeArrayCreate
0045EC14  770F6BBB  oleaut32.VariantChangeType
0045EC18  770F4CFD  oleaut32.VariantCopy
0045EC1C  770F48F0  oleaut32.VariantClear
0045EC20  770F4950  oleaut32.VariantInit
0045EC24  00000000
0045EC28  771857CD  comctl32._TrackMouseEvent
0045EC2C  771956A8  comctl32.ImageList_SetIconSize
0045EC30  77195660  comctl32.ImageList_GetIconSize
0045EC34  77195046  comctl32.ImageList_Write
0045EC38  771989E9  comctl32.ImageList_Read
0045EC3C  77194F73  comctl32.ImageList_DragShowNolock
0045EC40  77194F20  comctl32.ImageList_DragMove
0045EC44  77194F4B  comctl32.ImageList_DragLeave
0045EC48  77194EF2  comctl32.ImageList_DragEnter
0045EC4C  77194E5C  comctl32.ImageList_EndDrag
0045EC50  77194EAA  comctl32.ImageList_BeginDrag
0045EC54  77195582  comctl32.ImageList_Remove
0045EC58  771953C5  comctl32.ImageList_DrawEx
0045EC5C  7719545D  comctl32.ImageList_Draw
0045EC60  771952AA  comctl32.ImageList_GetBkColor
0045EC64  77195264  comctl32.ImageList_SetBkColor
0045EC68  771951D6  comctl32.ImageList_Add
0045EC6C  77195191  comctl32.ImageList_SetImageCount
0045EC70  77195150  comctl32.ImageList_GetImageCount
0045EC74  77195114  comctl32.ImageList_Destroy
0045EC78  7719935B  comctl32.ImageList_Create
0045EC7C  00000000

只能找到这些东西，但是OEP的第一个CALL最后CALL到壳里面去了  好像软件和壳时一体的 虽然找到了 IAT 但是  每个IAT 都是通过壳里面的一部分调用的 所以搞不定 不过不知道 补上壳的一部分区段不知道那样是否就可以运行了！
还是支持支持楼主了

NOD32 下载的时候直接报毒了，“可能是 Win32/Statik 潜在的不受欢迎的应用程序 的变种”

请问liuheqiang:

我在跟踪时,按F9时显示

不知怎样调试

是不是OD设置不对,要不要隐藏OD?

上传的附件：

• 未命名.JPG （52.11kb，1374次下载）

应该是H大叔的0.46改的，不过有些代码现在没用了，可以考虑去掉

[QUOTE=fiercelc;696769]请问liuheqiang:

我在跟踪时,按F9时显示

不知怎样调试

是不是OD设置不对,要不要隐藏OD?[/QUOTE]

这个我用的是 nooby调试 vmp的OD 那个OD 可以直接过大部分壳的

1、载入后在代码段下内存写入断点

2、断下后取消断点往下找到最后的那个 JMP [esp-24]  ,直接F4解码完毕到跳OEP
     003D04CA    61                    POPAD
     003D04CB    FF6424 DC       JMP DWORD PTR SS:[ESP-0x24]

3、到OEP后执行一小段脚本，进行FF25恢复操作（这个壳的加密就是这里吧？）

4、附件是已经修复好的，没优化。test (忘记了一点，TLS要手动修复一下，把DataBlockStartVA修正为00461000 ，脱壳后默认是壳申请内存的地址)

上传的附件：

• dumped_.rar （181.07kb，33次下载）

[QUOTE=yzjsdn;696836]1、载入后在代码段下内存写入断点

2、断下后取消断点往下找到最后的那个 JMP [esp-24]  ,直接F4解码完毕到跳OEP
     003D04CA    61                    POPAD
     003D04CB    FF6424 DC       JM...[/QUOTE]

楼上的能否共享一下你那个脚本呢 到OEP后的脚本 另外问下 如果不用脚本 直接补区段 可行吗？
先把壳申请的低地址搞成高地址然后补相应的区段是否可行呢？

补上区段好像跨不了平台，他解码的IAT地址是你本机器的地址，你看看他解码的CALL就知道了

谢谢回答 不过还是不会 修补 FF25 楼上能否共享一下脚本呢 让小菜学习一下怎么处理？感激不尽！

[QUOTE=yzjsdn;696836]1、载入后在代码段下内存写入断点

2、断下后取消断点往下找到最后的那个 JMP [esp-24]  ,直接F4解码完毕到跳OEP
     003D04CA    61                    POPAD
     003D04CB    FF6424 DC       JM...[/QUOTE]

强,佩服。看来我这个壳还要再改进。

VAR addr
VAR temp

BPHWC
GPA "VirtualFree","kernel32.dll"
BP $RESULT
RUN
BC $RESULT

ALLOC 0B20
MOV addr,$RESULT
MEMCPY addr,003D1C83,0B20

BPHWS 0045671C,"x"
RUN
BPHWC

PUSH eax
PUSH esi
MOV esi,addr
loop:
MOV eax,[esi],4
CMP eax,0
JE over
AND eax,7fffffff
MOV [eax-6],25ff,2
MOV [eax-4],[esi+4],4
ADD esi,8
JMP loop
over:
POP esi
POP eax
FREE addr

MSG "IAT HAVE BEEN REPAIRED~"
RET

没啥通用性，随便玩玩

谢谢楼上 先学习啊

想请教楼主个问题，

怎么处理代码才能让OD直接显示db xx 这样的形式，而不对指令进行反汇编。如果直接在代码中写db xx,一到OD里边就马上被反汇编成指令了。

0043FD85      35            db      35                               ;  CHAR '5'
0043FD86      C1            db      C1
0043FD87      42            db      42                               ;  CHAR 'B'
0043FD88      06            db      06
0043FD89      58            db      58                               ;  CHAR 'X'
0043FD8A      39            db      39                               ;  CHAR '9'
0043FD8B      39            db      39                               ;  CHAR '9'
0043FD8C      03            db      03
0043FD8D      3C            db      3C                               ;  CHAR '<'
0043FD8E      06            db      06
0043FD8F      00            db      00
0043FD90      00            db      00
0043FD91      00            db      00
0043FD92      00            db      00
0043FD93 > $- FF25 99FD4300 jmp     dword ptr [43FD99]               ;  试验_加?0046E000
0043FD99   .  00E04600      dd      试验_加?0046E000

不是vmp的，呵呵搞定咯，就像楼上说的样，一个内存断点后，一切都暴露出来咯，包括你的反dump部分。

现在水平还不够,学习中.......

请问在什么位置下内存断点啊，怎么实现那种db xx的处理呢

又给"壳壳"加了一层盔甲。

请大侠们再试试。

附件：
试验2_加壳.rar

上传的附件：

• 试验2_加壳.rar （273.35kb，17次下载）

新版的增加了个ANTI，还有OEP被偷了6字节，IAT跑段脚本完毕。

强人一个，呵呵

学习。。。。

我连LZ第一个 载不到OD里，有花指令把，

看不懂········
正在学习中·········

iat 处理还可以！