这样脱UltraProtect 1.x -> RISCO Software Inc.壳对否？

野猫III

一、OD除了非法内存访问之外，别的都忽略。

二、OD重新载入程序，Hide.
0047B000 >  60              PUSHAD  //载入后，F9程序运行
0047B001    7E 03           JLE SHORT 脱吧.0047B006
0047B003    7F 01           JG SHORT 脱吧.0047B006
0047B005    E8 EB0175EB     CALL EBBCB1F5
0047B00A    017B 76         ADD DWORD PTR DS:[EBX+76],EDI
0047B00D    0366 0B         ADD ESP,DWORD PTR DS:[ESI+B]
0047B010    C641 43 7A      MOV BYTE PTR DS:[ECX+43],7A
0047B014    037B 01         ADD EDI,DWORD PTR DS:[EBX+1]
0047B017    7B 0F           JPO SHORT 脱吧.0047B028
0047B019    8C05 000000B8   MOV WORD PTR DS:[B8000000],ES
0047B01F    B8 73F1DFEB     MOV EAX,EBDFF173
0047B024    017A 87         ADD DWORD PTR DS:[EDX-79],EDI
0047B027    CB              RETF                                     ; 远返回
＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋
运行到这被断下：
0048CAFB    CD 01           INT 1
0048CAFD    40              INC EAX
0048CAFE    40              INC EAX
0048CAFF    0BC0            OR EAX,EAX
0048CB01    75 05           JNZ SHORT 脱吧.0048CB08
0048CB03    90              NOP
0048CB04    90              NOP
0048CB05    90              NOP
0048CB06    90              NOP
0048CB07    61              POPAD
0048CB08    33C0            XOR EAX,EAX
0048CB0A    64:8F00         POP DWORD PTR FS:[EAX]
0048CB0D    58              POP EAX
0048CB0E    60              PUSHAD
0048CB0F    E8 00000000     CALL 脱吧.0048CB14
＋＋＋＋ALT+M打开内存映射：
内存映射, 条目 22
地址=00401000
大小=00061000 (397312.)
属主=脱吧     00400000
区段=CODE
包含=代码
类型=Imag 01001002
访问=R
初始访问=RWE
＋＋＋＋＋＋＋＋＋＋＋F2下断后再Shift+F9:
0045E764    55              PUSH EBP             //OEP?
0045E765    8BEC            MOV EBP,ESP
0045E767    83C4 EC         ADD ESP,-14
0045E76A    33C0            XOR EAX,EAX
0045E76C    8945 EC         MOV DWORD PTR SS:[EBP-14],EAX
0045E76F    B8 6CE54500     MOV EAX,脱吧.0045E56C
0045E774    E8 C780FAFF     CALL 脱吧.00406840
+++++++++++++++++++++=

方法就以上，但修复之后，程序还是被系统报错。运行不了。不知何解。谢谢！

[ 本帖最后由 野猫III 于 2006-6-17 00:10 编辑 ]

wzwgp

是什么软件，下载下来后不能运行，只有一*exe文件，是否还需要其他文件才能运行？我这样脱不知对吗？

0047B000 >  60              pushad                             ; F8
0047B001    7E 03           jle     short 0047B006
0047B003    7F 01           jg      short 0047B006
0047B005    E8 EB0175EB     call    EBBCB1F5
0047B00A    017B 76         add     [ebx+76], edi

hr esp    F9

00497E3C   /EB 01           jmp     short 00497E3F             ; 断在此　　　F8
00497E3E   |E8 FF25817E     call    7ECAA442
00497E43    49              dec     ecx
00497E44    0060 E8         add     [eax-18], ah


00497E3F  - FF25 817E4900   jmp     [497E81]                    ; 到此　F8
00497E45    60              pushad
00497E46    E8 00000000     call    00497E4B


0045E764    55              push    ebp                         ; oep
0045E765    8BEC            mov     ebp, esp
0045E767    83C4 EC         add     esp, -14
0045E76A    33C0            xor     eax, eax
0045E76C    8945 EC         mov     [ebp-14], eax
0045E76F    B8 6CE54500     mov     eax, 0045E56C
0045E774    E8 C780FAFF     call    00406840