【求助】NsPacK V3.7 -> LiuXingPing * Sign.By.fly * 脱壳后的问题[已解决]

pingan

一个软件用PeID_0.94查壳显示“NsPacK V3.7 -> LiuXingPing   * Sign.By.fly *”
用ESP原理进行脱壳，脱壳后无法正常运行，提示“遇到问题需要关闭”，用OD载入脱壳后的文件

00401B28   .- FF25 00114000 JMP DWORD PTR DS:[401100]
00401B2E   .- FF25 B8104000 JMP DWORD PTR DS:[4010B8]
00401B34   .- FF25 EC104000 JMP DWORD PTR DS:[4010EC]              
00401B3A   $- FF25 98114000 JMP DWORD PTR DS:[401198]         ；经过这里按两次F8后出现错误提示
00401B40 > $  68 709E4000   PUSH 00409E70                            ; 程序开始在这里。 ASCII "VB5!6&vb6chs.dll"
00401B45   .  E8 F0FFFFFF   CALL 00401B3A                            ；F7跟进到上面
00401B4A   .  0000          ADD BYTE PTR DS:[EAX],AL
00401B4C   .  0000          ADD BYTE PTR DS:[EAX],AL
00401B4E   .  0000          ADD BYTE PTR DS:[EAX],AL
00401B50   .  3000          XOR BYTE PTR DS:[EAX],AL
00401B52   .  0000          ADD BYTE PTR DS:[EAX],AL
00401B54   .  48            DEC EAX

错误提示是“不知如何处理单步，因为内存地址********不可读。请尝试更改EIP，或将异常传递给程序。”

遇到这种情况应该如何处理

[ 本帖最后由 pingan 于 2008-9-15 20:43 编辑 ]

小生我怕怕

把壳传来看看,没有壳实难如题!

aj3423

遇到这种情况应该如何处理
把exe传上来就行了

kungbim

00401B40  // oep
Create new eip/:014
dump file  and fixed iat now

[ 本帖最后由 kungbim 于 2008-9-1 02:39 编辑 ]

先驱者

最好提供一个文件下载啊

pingan

已经提供软件下载，请大家帮助看看。

小生我怕怕

脱壳后有大小效验!

aj3423

0040F956   .  50            push    eax                              ; /FileName
0040F957   .  FF15 94114000 call    dword ptr [<&msvbvm60.rtcFileLen>; \rtcFileLen
0040F95D   .  33C9          xor     ecx, ecx
0040F95F   .  3D 7CE00000   cmp     eax, 0E07C
0040F964   .  0F9FC1        setg    cl
0040F967      F7D9          neg     ecx

pingan

原帖由 aj3423 于 2008-9-4 19:18 发表
0040F956   .  50            push    eax                              ; /FileName
0040F957   .  FF15 94114000 call    dword ptr [; \rtcFileLen
0040F95D   .  33C9          xor     ecx, ecx
0040F95F   ...

不太明白你这是什么意思？可以解释一下吗？