灰鸽子企业版本脱壳记录

125243102

PEID打开程序查了查，没查出东西来……估计是做了伪装。
不管了直接OD载入
7C94BAC1   64:A1 18000000 mov eax,dword ptr fs:[18]     //打开后是这里，和平常不同得入口……
ESP定位下 ：0012FA24 设置个断点 开始F8单步
7C94BAC7   8985 34FFFFFF   mov dword ptr ss:[ebp-CC],eax
7C94BACD   FF75 E0       push dword ptr ss:[ebp-20]
7C94BAD0   6A 00       push 0
7C94BAD2   8B40 30       mov eax,dword ptr ds:[eax+30]
7C94BAD5   FF70 18       push dword ptr ds:[eax+18]
7C94BAD8   E8 6049FEFF   call ntdll.RtlFreeHeap


7C941654   895D FC       mov dword ptr ss:[ebp-4],ebx
7C941657   ^ E9 8277FFFF   jmp ntdll.7C938DDE             //一个向上得跳转
7C94165C   807B 02 00     cmp byte ptr ds:[ebx+2],0       这里F4
7C941660   0F85 55D70100   jnz ntdll.7C95EDBB
7C941666   833D 68D2997C 0>cmp dword ptr ds:[7C99D268],1


007527EB H> 9C         pushfd                 //F4后跳转到了这里…… 这里才是平常的入口   继续F8单步
007527EC   60         pushad
007527ED   E8 00000000   call H_Client.007527F2
007527F2   5D         pop ebp
007527F3   83ED 07       sub ebp,7
007527F6   8D8D 71F9FFFF   lea ecx,dword ptr ss:[ebp-68F]
007527FC   8039 01       cmp byte ptr ds:[ecx],1

00752A4C   83F8 00       cmp eax,0
00752A4F   74 0A       je short H_Client.00752A5B //快到出口了
00752A51   61         popad
00752A52   9D         popfd
00752A53   B8 01000000   mov eax,1
00752A58   C2 0C00       retn 0C
00752A5B   61         popad
00752A5C   9D         popfd
00752A5D   - E9 3E39E7FF   jmp H_Client.005C63A0

005C63A0     55         db 55                   ; CHAR 'U' //这里脱壳OK
005C63A1     8B         db 8B
005C63A2     EC         db EC
005C63A3     83         db 83
005C63A4     C4         db C4

感觉企业版加壳不难脱……可能用了什么伪装的！

怎么开始进入是那个地址，谁可以指导一下啊？谢谢拉……