用peid查得：ASProtect 2.0x Registered -> Alexey Solodovnikov

按照精华6上fly的方法，在壳解压完毕之后，ctrl+S,查找
mov edx,dword ptr ss:[ebp+C]
mov edx,dword ptr ds:[edx]
mov dword ptr ds:[edx],eax

第一处
00D9696C     8B55 0C       mov edx,dword ptr ss:[ebp+C]
00D9696F     8B12          mov edx,dword ptr ds:[edx]
00D96971     8902          mov dword ptr ds:[edx],eax
00D96973     E9 74010000   jmp 00D96AEC

第二处
00D96A24     8B55 0C       mov edx,dword ptr ss:[ebp+C]
00D96A27     8B12          mov edx,dword ptr ds:[edx]
00D96A29     8902          mov dword ptr ds:[edx],eax
00D96A2B     E9 BC000000   jmp 00D96AEC

第三处
00D96A4B     8B55 0C       mov edx,dword ptr ss:[ebp+C]
00D96A4E     8B12          mov edx,dword ptr ds:[edx]
00D96A50     8902          mov dword ptr ds:[edx],eax
00D96A52     E9 95000000   jmp 00D96AEC

第四处
00D96A68     8B55 0C       mov edx,dword ptr ss:[ebp+C]
00D96A6B     8B12          mov edx,dword ptr ds:[edx]
00D96A6D     8902          mov dword ptr ds:[edx],eax
00D96A6F     B8 786CD900   mov eax,0D96C78
00D96A74     BE 645BD900   mov esi,0D95B64
00D96A79     2BC6          sub eax,esi
00D96A7B     50            push eax

第五处
00D96AB2     8B55 0C       mov edx,dword ptr ss:[ebp+C]
00D96AB5     8B12          mov edx,dword ptr ds:[edx]
00D96AB7     8902          mov dword ptr ds:[edx],eax
00D96AB9     B8 786CD900   mov eax,0D96C78
00D96ABE     BE 645BD900   mov esi,0D95B64
00D96AC3     2BC6          sub eax,esi
00D96AC5     50            push eax
00D96AC6     56            push esi

fly的两篇教程都查找到4处，我试着跟踪了regcleanexpert，而且四处都
是我们查找的命令后跟着JMP，不知道为什么我找到3处？
另外两处后面不是jmp？

另外，后两处在用ctrl＋L查了后，滚动条向上拖动后，汇编语句变了
不知道怎么回事？

请各位多指教！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课