关于2哥教材脱壳进阶第9篇Acprotect1.09疑惑

想要飞de更高

关于2哥教材脱壳进阶第9篇Acprotect1.09疑惑

各位大侠 你们好
小弟拜读2哥的脱壳教材 受益非浅  但有一处不明  思索一晚 都没相通  特地请教下

Acprotect1.09这个壳  先把od设置成  忽略除 内存访问异常以外的说有异常   f9    再来shift+f9
到了
0041308E CD 01 INT 1                                  按找以前的教材 因该是 察看堆栈区 找到 se句丙  返回到se处理完的出口
00413090 40 INC EAX                                           但教材里却是  用内存断点法  直接找到oep
00413091 40 INC EAX
00413092 0BC0 OR EAX,EAX
00413094 0F85 B6000000 JNZ NOTEPAD.00413150
0041309A 60 PUSHAD
我的问题有2： 1   为什么这里不用2次内存断点法    以前的PE-SHiELD V0.25  那篇   先让壳处理完 seh  再来2次内存断点
                              2次内存断点和直接内存断点 什么情况下用其中个啊  同样是加密壳   这里用1次短点   
                     2        最重要的  按照2哥的方法  下了一次内存断点 就到了 伪oep   
004010C7     000D 0A0000B3       add byte ptr ds:[B300000A],cl
004010CD     BB 93448578         mov ebx,78854493                            程序停这了     不是真正的入口oep  
004010D2     56                  push esi
004010D3     FF15 E4634000       call dword ptr ds:[4063E4]        ; NOTEPAD.0040D1BA
004010D9     8BF0                mov esi,eax
004010DB     8A00                mov al,byte ptr ds:[eax]
004010DD     3C 22               cmp al,22
004010DF     75 1B               jnz short NOTEPAD.004010FC
004010E1     56                  push esi
004010E2     FF15 F4644000       call dword ptr ds:[4064F4]        ; NOTEPAD.0040D4C6

因为acprotect 把oep 前面6个字节改了   2哥的方法是 打开记事本  看看没加壳的前面6个字节   如果是不知道这是为什么编译器遍的 程序  怎么才能把 acprotect还原   这是不是就是别人说的 偷code啊

想要飞de更高

没人看？？
顶一下