希望有高手指点下！！！TMD跑脚本的问题

529400

这个是TMD壳，载入OD：

0043F014 >  B8 00000000     mov eax,0
0043F019    60              pushad
0043F01A    0BC0            or eax,eax
0043F01C    74 68           je short 测试.0043F086
0043F01E    E8 00000000     call 测试.0043F023
0043F023    58              pop eax
0043F024    05 53000000     add eax,53
0043F029    8038 E9         cmp byte ptr ds:[eax],0E9
0043F02C    75 13           jnz short 测试.0043F041
0043F02E    61              popad
0043F02F    EB 45           jmp short 测试.0043F076
0043F031    DB2D 37F04300   fld tbyte ptr ds:[43F037]
0043F037    FFFF            ???                                      ; 未知命令
0043F039    FFFF            ???                                      ; 未知命令
0043F03B    FFFF            ???                                      ; 未知命令
0043F03D    FFFF            ???                                      ; 未知命令
0043F03F    3D 40E80000     cmp eax,0E840
0043F044    0000            add byte ptr ds:[eax],al
0043F046    58              pop eax
0043F047    25 00F0FFFF     and eax,FFFFF000
0043F04C    33FF            xor edi,edi
0043F04E    66:BB 195A      mov bx,5A19
0043F052    66:83C3 34      add bx,34
0043F056    66:3918         cmp word ptr ds:[eax],bx
0043F059    75 12           jnz short 测试.0043F06D
0043F05B    0FB750 3C       movzx edx,word ptr ds:[eax+3C]
0043F05F    03D0            add edx,eax
0043F061    BB E9440000     mov ebx,44E9
0043F066    83C3 67         add ebx,67
0043F069    391A            cmp dword ptr ds:[edx],ebx

===========================================================================
跑起脚本后：

0040389F    55              push ebp                 ; OEP ???   <<<<脚本停在这里>>>>
004038A0    8BEC            mov ebp,esp
004038A2    6A FF           push -1
004038A4    68 F8724000     push 测试.004072F8
004038A9    68 04554000     push 测试.00405504
004038AE    64:A1 00000000  mov eax,dword ptr fs:[0]
004038B4    50              push eax
004038B5    64:8925 0000000>mov dword ptr fs:[0],esp
004038BC    83EC 58         sub esp,58
004038BF    53              push ebx
004038C0    56              push esi
004038C1    57              push edi
004038C2    8965 E8         mov dword ptr ss:[ebp-18],esp
004038C5    E8 02D4A802     call 02E90CCC
004038CA    90              nop
004038CB    33D2            xor edx,edx
004038CD    8AD4            mov dl,ah
004038CF    8915 94BA4000   mov dword ptr ds:[40BA94],edx
004038D5    8BC8            mov ecx,eax
004038D7    81E1 FF000000   and ecx,0FF
004038DD    890D 90BA4000   mov dword ptr ds:[40BA90],ecx
004038E3    C1E1 08         shl ecx,8
004038E6    03CA            add ecx,edx
004038E8    890D 8CBA4000   mov dword ptr ds:[40BA8C],ecx
004038EE    C1E8 10         shr eax,10
004038F1    A3 88BA4000     mov dword ptr ds:[40BA88],eax
004038F6    33F6            xor esi,esi
004038F8    56              push esi
004038F9    E8 7A030000     call 测试.00403C78

===================================================================================
我用DUMP修改了入口地址，可以出现了错误信息：
如图：


跑到脚本以上的OEP，下一步应该怎样去修复吖！！！希望有高手路过``得到详细的解答！！！

[ 本帖最后由 529400 于 2009-7-28 23:04 编辑 ]

hkp509

这方面我不是很专业，请专业的帮忙下

abbsabbs

= =#

完全不懂唉，

Nisy

是THM的壳 你到OEP之后 DUMP下来肯定没有修复

哦不懂壳 请教下其他高手吧 ~~

529400

DUMP那里不会修复！！不知道没有没教程看看！！

MOV

脚本跑的话  都有个脚本日记里面有 OEP  和 大小 IAI的修复地址 满好搞的

glts

大多数为IAT没修好