脱PEBundle 2.0x - 2.4x-> Jeremy Collake壳的问题？

jmzhwf

最近手动用“ESP定律”脱一壳：PEBundle 2.0x - 2.4x-> Jeremy Collake

脱后peid查为: vc++ 7

运行软件：第一次能成功打开;第二次提示“找不到程序所需的动态连接库”

用od 载入程序：提示代码被压缩

请高手指点一下：到底是什么问题？是不是还有壳？这种壳常见吗？有别的好方法吗?

0040E480    55              PUSH EBP
0040E481    8BEC            MOV EBP,ESP
0040E483    6A FF           PUSH -1
0040E485    68 12104000     PUSH xxxxx.00401012
0040E48A    68 27104000     PUSH xxxxx.00401027
0040E48F    64:A1 00000000  MOV EAX,DWORD PTR FS:[0]
0040E495    50              PUSH EAX
0040E496    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
0040E49D    58              POP EAX
0040E49E    58              POP EAX
0040E49F    58              POP EAX
0040E4A0    58              POP EAX
0040E4A1    58              POP EAX
0040E4A2    E9 00000000     JMP xxxxx.0040E4A7
0040E4A7    60              PUSHAD
0040E4A8    E9 14000000     JMP xxxxx.0040E4C1
0040E4AD    5D              POP EBP
0040E4AE    81ED 00000000   SUB EBP,0
0040E4B4    6A 45           PUSH 45
0040E4B6    E8 A3000000     CALL xxxxx.0040E55E
0040E4BB    68 00000000     PUSH 0
0040E4C0    E8 5861E939     CALL 3A2A461D
0040E4C5    FB              STI
0040E4C6    FFFF            ???                                      ; 未知命令
0040E4C8    0000            ADD BYTE PTR DS:[EAX],AL
0040E4CA    0000            ADD BYTE PTR DS:[EAX],AL
0040E4CC    008B 8578FFFF   ADD BYTE PTR DS:[EBX+FFFF7885],CL
0040E4D2    FF8D 65F45F5E   DEC DWORD PTR SS:[EBP+5E5FF465]
0040E4D8    5B              POP EBX
0040E4D9    5D              POP EBP
0040E4DA    C3              RETN

........................

od脱壳：

起始位置：400000           大小：3DE000

入口点地址：3DC000  －－>修正为：E480

代码基址：1000           数据基址：C000




保存后 importREC 1.6修复：

获取系统中的进程：od 打开的进程

oep: e480

自动搜索iat

弹出对话框：“在这个oep处未发现任何有用数据”

按“获取输入表”打开的函数均为“假”