的确是这样
我找的 入口点是 00351EEC

这个东西怎么这么贵？？？？

３Ｄ盈利宝典　v050505 　　　　　　光盘价格：４８８８元 老用户价：打９折；即４４００元

是的呀，按以前的方法还是搞不定，请高手相助！

00351EEC
应该不是OEP!
根据俺的经验,OEP一般不超过6位.
你跳过这个OEP再向下找找看.

351EEC
嗯,手工脱壳是找到这个OEP啊!
............

脱壳后的程序不能运行!
查壳:无,Borland Delphi 6.0 - 7.0

用ImportREC修复,失败.指针是假的.
得出:
    假OEP.(个人观点,继续找

前面遇到的几个 55  push EBP都是虚假OEP信息.
注意就是了!

这个壳是有附加数据的，但是按照论坛里以前的方法试了，但还是运行不了，这个软件是用搭建之星做的，以前没搞过，努务中！！！！！！！！

参照 论坛精华6中的
《VB函数速查.eXe 脱壳后附加数据的修复》

参照 论坛精华6中的
《VB函数速查.eXe 脱壳后附加数据的修复》
上面的看雪精华6打不开，不知是怎么回事！！！

【破解作者】 litecokie       
【作者邮箱】 wjcxll@21cn.com
【使用工具】 Ollydbg;LoadPe; PEid；WinHex
【破解平台】 WINDOWS XP SP2
【软件名称】 3D盈利宝典
【下载地址】 6e2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4H3M7$3y4%4i4K6u0W2j5$3!0E0i4K6u0r3k6r3!0%4L8W2)9J5c8Y4y4Z5L8%4N6Q4x3X3g2S2M7%4m8Q4x3@1k6A6k6q4)9K6c8o6b7I4z5l9`.`.
【软件简介】 彩票软件，没用过，但是很贵，
【加壳方式】 ASPack 2.12 -> Alexey Solodovnikov [Overlay]
【破解声明】 我是一只小菜鸟，初学Crack，偶得一点心得，愿与大家分享：）
【破解内容】
PEid v0.93 查壳 ASPack 2.12 -> Alexey Solodovnikov [Overlay]
用OD载入程序后。
Od提示程序加壳，选不继续分析。
007F3000     90                nop                         停在这里
007F3001 3>  60                pushad
007F3002     E8 03000000       call 3D盈利宝.007F300A       F7步入
这个壳比较简单，原则是距离较近的CALL 用 F7步入，较远的用F8带过，一直往下不回头，往回跳的跳转用F4…….，
007F337F   ^\E9 32FFFFFF       jmp 3D盈利宝.007F32B6
007F3384     8906              mov dword ptr ds:[esi],eax
007F3386     8946 0C           mov dword ptr ds:[esi+C],eax
007F3389     8946 10           mov dword ptr ds:[esi+10],eax
007F338C     83C6 14           add esi,14
007F338F     8B95 22040000     mov edx,dword ptr ss:[ebp+422]
007F3395   ^ E9 EBFEFFFF       jmp 3D盈利宝.007F3285
007F339A     B8 EC1E3500       mov eax,351EEC
007F339F     50                push eax
007F33A0     0385 22040000     add eax,dword ptr ss:[ebp+422]
007F33A6     59                pop ecx
007F33A7     0BC9              or ecx,ecx
007F33A9     8985 A8030000     mov dword ptr ss:[ebp+3A8],eax
007F33AF     61                popad
007F33B0     75 08             jnz short 3D盈利宝.007F33BA
007F33B2     B8 01000000       mov eax,1
007F33B7     C2 0C00           retn 0C
007F33BA     68 EC1E7500       push 3D盈利宝.00751EEC      一直来到此处，Oep
007F33BF     C3                retn
??????????????????????????????????
00751EEC     55                push ebp                      停在入口点
00751EED     8BEC              mov ebp,esp
00751EEF     B9 07000000       mov ecx,7
00751EF4     6A 00             push 0
00751EF6     6A 00             push 0
00751EF8     49                dec ecx
00751EF9   ^ 75 F9             jnz short 3D盈利宝.00751EF4
00751EFB     53                push ebx
此处选择用 OllyDump 插件,其中重建注册表选择“方式1”，DUMP出dump.exe。
运行一下，软件提示要什么“搭键之星”文件，是有Overlay的原因。

用LordPE打开原文件，查看一下［区段表］发现Overlay数据开始位置在 133000。

用WinHex打开原文件，将133000之后所有文件复制到脱壳后的dump.exe文件尾部，记住dump.exe文件中Overlay数据开始位置是 3F9200，计算一下与133000的差值是2C6200［3F9200-133000＝2C6200］，以后要用到。

用Od打开 dump.exe 文件下 bp  SetFilePointer断点，F9运行
［具体文章请参照Lenus大侠浅谈脱壳中的附加数据问题（overlay）（论坛精华六中收录）］
按四次F9以后断下了，看堆栈
0012FED0   0040A7F3  /CALL 到 SetFilePointer 来自 1.0040A7EE
0012FED4   000000A8  |hFile = 000000A8 (window)
0012FED8   0056C814  |OffsetLo = 56C814 (5687316.)          <－注意此处，似曾相识
0012FEDC   0012FEF0  |pOffsetHi = 0012FEF0
0012FEE0   00000000  \Origin = FILE_BEGIN
0012FEE4   0012FF5C
对，56C814就是在 dump.exe 末尾处

以下懒得跟踪了，用一个投机取巧的办法吧。唉，治学不严谨啊….
懒人观察法：
［此处借鉴了 fly版主的《VB函数速查.eXe 脱壳后附加数据的修复》一文，论坛精华六中收录］
用WinHex 打开原文件，到文件末尾。观察之………..，找些有用的信息吧

看2A660C处是连续的三个字节 C0 64 2A  对应值2A64C0是Overlay的偏移地址，
向上翻找到文本窗口“3D盈利宝典.IPD”后面的字节，2A64D4处是连续的三个字节 00 30 13  对应值133000，感觉到了什么？？？就是指向3D盈利宝典.IPD文件的起始位置。

再看看下面的什么“初级分析”“对奖面板”“高级分析”“过滤面板”“奖号走势”………….
太有规律了
分别对应着 13D292  15E8CE  169754  1926A9  1EE40E ………

好了，接下来就是认真仔细的工作了，
我们将dump.exe 对应值（就是将上面的值都加上2C6200），一一改一下。
然后运行 dump.exe 一切OK。

楼上的大哥，能不能上传一个修补好了的脱壳文件上来呀！！

把你的脱壳文件传上来，看看

我还是不会修补，文件有3M多，上传不了，要不我们QQ里面传，我的QQ是：****

禁止在此类帖子里面要求私下联系！