在脱某木马软件时遇到的问题~

keyser

前次我好像UNPACK发过这类的帖子，闷死了没有人回答我的问题!!! RP问题难道?
  目标是一个带有后门的程序。但是这个程序加了壳:Themida/WinLicense V1.8.2.0 +  -> Oreans Technologies   * Sign.By.fly *
  
  根据以前在这里后到的帖子，用OD载入程序。入口点是:

1. 004C9014 > B8 00000000      MOV EAX,0
   
2. 004C9019   60               PUSHAD
   
3. 004C901A   0BC0             OR EAX,EAX
   
4. 004C901C   74 68            JE SHORT qq.004C9086
   
5. 004C901E   E8 00000000      CALL qq.004C9023
   
6. 004C9023   58               POP EAX
   
7. 004C9024   05 53000000      ADD EAX,53
   
8. 004C9029   8038 E9          CMP BYTE PTR DS:[EAX],0E9
   
9. 004C902C   75 13            JNZ SHORT qq.004C9041
   
10. 004C902E   61               POPAD
    
11. 004C902F   EB 45            JMP SHORT qq.004C9076
    
12. 004C9031   DB2D 37904C00    FLD TBYTE PTR DS:[4C9037]
    
13. 004C9037   FFFF             ???                                      ; 未知命令
    
14. 004C9039   FFFF             ???                                      ; 未知命令
    
15. 004C903B   FFFF             ???                                      ; 未知命令
    
16. 004C903D   FFFF             ???                                      ; 未知命令
    
17. 004C903F   3D 40E80000      CMP EAX,0E840
    
18. 004C9044   0000             ADD BYTE PTR DS:[EAX],AL
    
19. 004C9046   58               POP EAX
    
20. 004C9047   25 00F0FFFF      AND EAX,FFFFF000
    
21. 004C904C   33FF             XOR EDI,EDI
    
22. 004C904E   66:BB 195A       MOV BX,5A19
    
23. 004C9052   66:83C3 34       ADD BX,34

复制代码

在我载入的时候出现了一个提示 如下：（上传不了图，我给大家写出来）
入口点警告
   模块'qq'入口点超出代码范围（在PE文件头中指定）可能这是一个自解压或自修改文件.请在设置断点时记住这一点。

点完确定后，出现了如上面那个代码。

我载入这个脚本:https://www.chinapyg.com/viewthr ... p;extra=&page=1  就是这里帖出来的这个。

把他复制到一个TXT文档中，然后保存为后缀名为.ocs的 或者是TXT的。
  
然后在OD中运行这个脚本，可以运行。但是过了一会它便出现了一个提示:
错误提示的 标题栏是 Themida
Themida
   An internal exception occured(Address:0x7308d7)Please,contact support@oreans.com.Thank you!

然后点完确定后， 代码就到了这里如下：

1. 7C92EB94 > C3               RETN
   
2. 7C92EB95   8DA424 00000000  LEA ESP,DWORD PTR SS:[ESP]
   
3. 7C92EB9C   8D6424 00        LEA ESP,DWORD PTR SS:[ESP]
   
4. 7C92EBA0   90               NOP
   
5. 7C92EBA1   90               NOP
   
6. 7C92EBA2   90               NOP
   
7. 7C92EBA3   90               NOP
   
8. 7C92EBA4   90               NOP
   
9. 7C92EBA5 > 8D5424 08        LEA EDX,DWORD PTR SS:[ESP+8]
   
10. 7C92EBA9   CD 2E            INT 2E
    
11. 7C92EBAB   C3               RETN
    
12. 7C92EBAC > 55               PUSH EBP
    
13. 7C92EBAD   8BEC             MOV EBP,ESP
    
14. 7C92EBAF   9C               PUSHFD
    
15. 7C92EBB0   81EC D0020000    SUB ESP,2D0
    
16. 7C92EBB6   8985 DCFDFFFF    MOV DWORD PTR SS:[EBP-224],EAX
    
17. 7C92EBBC   898D D8FDFFFF    MOV DWORD PTR SS:[EBP-228],ECX
    
18. 7C92EBC2   8B45 08          MOV EAX,DWORD PTR SS:[EBP+8]
    
19. 7C92EBC5   8B4D 04          MOV ECX,DWORD PTR SS:[EBP+4]
    
20. 7C92EBC8   8948 0C          MOV DWORD PTR DS:[EAX+C],ECX
    
21. 7C92EBCB   8D85 2CFDFFFF    LEA EAX,DWORD PTR SS:[EBP-2D4]
    
22. 7C92EBD1   8988 B8000000    MOV DWORD PTR DS:[EAX+B8],ECX
    
23. 7C92EBD7   8998 A4000000    MOV DWORD PTR DS:[EAX+A4],EBX
    
24. 7C92EBDD   8990 A8000000    MOV DWORD PTR DS:[EAX+A8],EDX
    
25. 7C92EBE3   89B0 A0000000    MOV DWORD PTR DS:[EAX+A0],ESI
    
26. 7C92EBE9   89B8 9C000000    MOV DWORD PTR DS:[EAX+9C],EDI
    
27. 7C92EBEF   8D4D 0C          LEA ECX,DWORD PTR SS:[EBP+C]
    
28. 7C92EBF2   8988 C4000000    MOV DWORD PTR DS:[EAX+C4],ECX
    
29. 7C92EBF8   8B4D 00          MOV ECX,DWORD PTR SS:[EBP]
    
30. 7C92EBFB   8988 B4000000    MOV DWORD PTR DS:[EAX+B4],ECX
    
31. 7C92EC01   8B4D FC          MOV ECX,DWORD PTR SS:[EBP-4]
    
32. 7C92EC04   8988 C0000000    MOV DWORD PTR DS:[EAX+C0],ECX
    
33. 7C92EC0A   8C88 BC000000    MOV WORD PTR DS:[EAX+BC],CS
    
34. 7C92EC10   8C98 98000000    MOV WORD PTR DS:[EAX+98],DS
    
35. 7C92EC16   8C80 94000000    MOV WORD PTR DS:[EAX+94],ES

复制代码

闷呀``  真不知道我该怎么做了，  还有我以经把OD 给隐藏了。在没有隐藏的时候是不能用OD 截入程序的。