F9运行
写入异常
我们在刚才那个地方下断
0040584C
SHIFT+F9运行
刚才那个变态的call要f7进
进来后在F9运行
程序停留在地址
004058E5 5A POP EDX ; PEtite.0040D1B8

我们在下个地方下断SHIFT+F9运行
0040590C 64:0335 2200000>ADD ESI,DWORD PTR FS:[22]

这个地方要特别留意
为什么这个壳在98的系统下不好搞 因为0040590C 这个地方的OD加载回出现不一样的数值 解码会出现错误
我们把这个地方NOP掉
0040597E /0F84 0E020000 JE PEtite.00405B92

这个地方有个很大的跳没有实现 我们跟过去
在这个地方下断F9运行
0040D042 >- E9 8540FFFF JMP PEtite.004010CC

到了这个地方大家都明白了吗10cc

3.脱壳后查壳
Microsoft Visual C++ 6.0 SPx Method 1
4.测试能否运行

可以运行
如果不能运行就修复

好了结束

旭→19K技術 QQ:50102472
有兴趣的朋友可以交流