不好意思又麻烦各位了实在是因为我在学习啊！请指点！
看了 爱的中体验之Armadillo3.X加壳的双进程基本壳 的 笔记 在下面这里我怎么老搞不明白了！
请给位指点下！

00A3139E    0F84 86000000   JE 00A3142A  //很大一个magic jmp 跳转，注意，修改它为jmp 00a3142a 程序将异常无法继续运行，但IAT已经没有加密了。为了跟踪到oep,动态修改Z标志吧。
00A313A4    8B85 90E6FFFF   MOV EAX,DWORD PTR SS:[EBP-1970]
00A313AA    8B40 08         MOV EAX,DWORD PTR DS:[EAX+8]
00A313AD    83E0 01         AND EAX,1
00A313B0    85C0            TEST EAX,EAX
00A313B2    74 25           JE SHORT 00A313D9
.................................................................

对 00A3139E   /0F84 86000000   JE 00A3142A 也下内存断点，切记不要下普通断点，Arm对断点检测很严格，一不小行就退出。

F9，运行，不断修改Z标志。

大概5-6次，看到

0012BF2C   00000001
0012BF30   00A53938
0012BF34   00000000
0012BF38   00EDC74A  ASCII "GetFileTitleA"
0012BF3C   77F902BD  返回到 ntdll.77F902BD 来自 ntdll.77F9042D
0012BF40   77F902ED  返回到 ntdll.77F902ED 来自 ntdll.77F90301F9断在这里。

00A113AC    8B08            MOV ECX,DWORD PTR DS:[EAX]  //IAT跳过解密完成，清除内存断点。
00A113AE    8365 08 00      AND DWORD PTR SS:[EBP+8],0
00A113B2    8D50 04         LEA EDX,DWORD PTR DS:[EAX+4]
00A113B5    894D E8         MOV DWORD PTR SS:[EBP-18],ECX
00A113B8    8955 0C         MOV DWORD PTR SS:[EBP+C],EDX
00A113BB    C745 10 2000000>MOV DWORD PTR SS:[EBP+10],20
00A113C2    8B12            MOV EDX,DWORD PTR DS:[EDX]
00A113C4    8955 E4         MOV DWORD PTR SS:[EBP-1C],EDX
00A113C7    816D 08 4786C86>SUB DWORD PTR SS:[EBP+8],61C88647
00A113CE    8BF2            MOV ESI,EDX
00A113D0    8BFA            MOV EDI,EDX
00A113D2    C1EE 05         SHR ESI,5
00A113D5    0375 FC         ADD ESI,DWORD PTR SS:[EBP-4]
00A113D8    C1E7 04         SHL EDI,4
00A113DB    037D F0         ADD EDI,DWORD PTR SS:[EBP-10]
00A113DE    33F7            XOR ESI,EDI
00A113E0    8B7D 08         MOV EDI,DWORD PTR SS:[EBP+8]

在 00A3139E  处 到底 该 怎么做呢？？下硬件断点后在下 内存断点 ！按F9  不停的修改Z 标志 还是该怎么做啊 ？

[培训]科锐逆向工程师培训第53期2025年7月8日开班！