这个aspack2.12的壳很奇怪大家帮我解惑。

lcwbqxf1

这个aspack2.12的壳很奇怪大家帮我看看，谢谢各位。
文件是wbjf.exe，但按前辈的脱法，找到入口点竟然是0，郁闷，
用OD加载更本无法运行到入口点。
00447395  ^E9 EBFEFFFF      JMP wbjf.00447285
0044739A   B8 20110000      MOV EAX,1120
0044739F   50               PUSH EAX
004473A0   0385 22040000    ADD EAX,DWORD PTR SS:[EBP+422]
004473A6   59               POP ECX
004473A7   0BC9             OR ECX,ECX
004473A9   8985 A8030000    MOV DWORD PTR SS:[EBP+3A8],EAX
004473AF   61               POPAD
004473B0   75 08            JNZ SHORT wbjf.004473BA
004473B2   B8 01000000      MOV EAX,1
004473B7   C2 0C00          RETN 0C
004473BA   68 00000000      PUSH 0  按前辈的看法入口点是push 后面的0
004473BF   C3               RETN

[ 本帖最后由 lcwbqxf1 于 2006-5-14 08:58 编辑 ]

冷血书生

1. 00401120    68 D0294000      push wbjf.004029D0                    -----------> 标准VB入口~
   
2. 00401125    E8 F0FFFFFF      call wbjf.0040111A                               ; jmp to msvbvm50.ThunRTMain
   
3. 0040112A    0000             add byte ptr ds:[eax],al
   
4. 0040112C    40               inc eax
   
5. 0040112D    0000             add byte ptr ds:[eax],al
   
6. 0040112F    0030             add byte ptr ds:[eax],dh
   
7. 00401131    0000             add byte ptr ds:[eax],al

复制代码

004473BF   C3               RETN   =========> 你这个其实就是返回到OEP处~

lcwbqxf1

我知道retn是返回到入口点但我的调试程序无法运行到这
用OD加载后运行到中间就显示内存不能为read，
所以也无法知道retn是返回到哪个地址？
我是直接按查找，找到这个地址，没有真正的执行到这里。

[ 本帖最后由 lcwbqxf1 于 2006-5-15 08:20 编辑 ]

hrbx

OD载入，F8一次，命令栏：hr esp,回车，F9运行，F8经过几个retn就到OEP了。

野猫III

原帖由 hrbx 于 2006-5-15 09:57 发表
OD载入，F8一次，命令栏：hr esp,回车，F9运行，F8经过几个retn就到OEP了。

兄弟好牛。楼主再按不定的话，建议使用Quick Unpack 0.7来试试。

lcwbqxf1

脱壳后修复也不能启动真郁闷
看来还是路漫漫兮其修远兮

linchm

原帖由 hrbx 于 2006-5-15 09:57 发表
OD载入，F8一次，命令栏：hr esp,回车，F9运行，F8经过几个retn就到OEP了。

学习学习再学习

30903861

我用单步跟踪和ESP定律都找到出口是1120
脱了无法运行用Import REConstructor v1.6修复后也是无法运行
为何？？？？

hanxiucao

晕，我下了，连原来的加客程序都不能运行，怎么回事？

zhimingcom

是不是有自校验?