看看是啥模块
未必是主程序
这个对话框确定即可

我曾经手动脱壳了几个软件，peid0.92说已经没有壳了，但是exespope编辑的时候提示说软件还没脱壳，请问这到底是怎么回事啊？

最初由 fly 发布
看看是啥模块
未必是主程序
这个对话框确定即可

是主程序，点确定是可以，但是这个壳我就搞不掉了：（

TO dreamoffly ：
修复资源，论坛搜索dREAMtHEATER的DT_FixRes

To ghost_cracker：
有壳无壳需要你自己去分析确定，PEiD不是万能的

To fly: cryp的壳，需要脱吗？它只是做一下sitecode与sitekey的验证，对吧，这样的壳与压缩或修改api表的处理方法也不同？

0041EF12   .-FF25 F4114000  JMP DWORD PTR DS:[<&MSVBVM60.__vbaVarLik>;  MSVBVM60.__vbaVarLikeVar
0041EF18   .-FF25 08114000  JMP DWORD PTR DS:[<&MSVBVM60.__vbaStrLik>;  MSVBVM60.__vbaStrLike
0041EF1E   .-FF25 F8134000  JMP DWORD PTR DS:[<&MSVBVM60.__vbaI4Cy>] ;  MSVBVM60.__vbaI4Cy
0041EF24   .-FF25 A8114000  JMP DWORD PTR DS:[<&MSVBVM60.__vbaI2Cy>] ;  MSVBVM60.__vbaI2Cy
0041EF2A   .-FF25 40104000  JMP DWORD PTR DS:[<&MSVBVM60.__vbaEnd>]  ;  MSVBVM60.__vbaEnd
0041EF30   .-FF25 28114000  JMP DWORD PTR DS:[<&MSVBVM60.#597>]      ;  MSVBVM60.rtcAppActivate
0041EF36   .-FF25 3C114000  JMP DWORD PTR DS:[<&MSVBVM60.#599>]      ;  MSVBVM60.rtcSendKeys
0041EF3C   .-FF25 78104000  JMP DWORD PTR DS:[<&MSVBVM60.__vbaResume>;  MSVBVM60.__vbaResume
0041EF42   .-FF25 6C124000  JMP DWORD PTR DS:[<&MSVBVM60.EVENT_SINK_>;  MSVBVM60.EVENT_SINK_QueryInterface
0041EF48   .-FF25 B8114000  JMP DWORD PTR DS:[<&MSVBVM60.EVENT_SINK_>;  MSVBVM60.EVENT_SINK_AddRef
0041EF4E   .-FF25 4C124000  JMP DWORD PTR DS:[<&MSVBVM60.EVENT_SINK_>;  MSVBVM60.EVENT_SINK_Release
0041EF54   .-FF25 FC104000  JMP DWORD PTR DS:[<&MSVBVM60.#300>]      ;  MSVBVM60.GetMem2
0041EF5A   .-FF25 44114000  JMP DWORD PTR DS:[<&MSVBVM60.#306>]      ;  MSVBVM60.PutMem2
0041EF60   .-FF25 24114000  JMP DWORD PTR DS:[<&MSVBVM60.#303>]      ;  MSVBVM60.GetMemStr
0041EF66   .-FF25 64114000  JMP DWORD PTR DS:[<&MSVBVM60.#309>]      ;  MSVBVM60.PutMemStr
0041EF6C   .-FF25 04114000  JMP DWORD PTR DS:[<&MSVBVM60.#301>]      ;  MSVBVM60.GetMem4
0041EF72   .-FF25 54114000  JMP DWORD PTR DS:[<&MSVBVM60.#307>]      ;  MSVBVM60.PutMem4
0041EF78   .-FF25 18114000  JMP DWORD PTR DS:[<&MSVBVM60.#302>]      ;  MSVBVM60.GetMem8
0041EF7E   .-FF25 5C114000  JMP DWORD PTR DS:[<&MSVBVM60.#308>]      ;  MSVBVM60.PutMem8
0041EF84   .-FF25 38114000  JMP DWORD PTR DS:[<&MSVBVM60.#305>]      ;  MSVBVM60.GetMemObj
0041EF8A   .-FF25 68124000  JMP DWORD PTR DS:[<&MSVBVM60.#311>]      ;  MSVBVM60.PutMemObj
0041EF90   .-FF25 80124000  JMP DWORD PTR DS:[<&MSVBVM60.#313>]      ;  MSVBVM60.SetMemObj
0041EF96   $-FF25 7C134000  JMP DWORD PTR DS:[<&MSVBVM60.#100>]      ;  MSVBVM60.ThunRTMain
0041EF9C > $ 68 B0F44100    PUSH ScanFile.0041F4B0               //程序一开始就到了这里，F8到下一句
0041EFA1   . E8 F0FFFFFF    CALL <JMP.&MSVBVM60.#100>            //跳到0041EF96   $-FF25 7C134000  JMP DWORD PTR DS:[<&MSVBVM60.#100>]      ;  MSVBVM60.ThunRTMain，api并未加密或者压缩，请问fly，遇到过类似情况吗？

VB程序，无壳。

唉，愁啊，无壳为啥还提示：

模块...的入口点位于代码外部（例如在PE文件头中被指定）。可能这个文件具有自解压或者自修改功能。请您在设置断点的时候记住这一点！

？？？？？

所有VB程序都会有这个提示，不用去管他，直接按确定就行了。

to 小虾：我破解这个vb程序遇到很多问题，想向你讨教，多费心了

还是在论坛上交流更好，我很少上QQ聊天的，大部分时间都在论坛，一般我懂的问题我都会回答的。

to 小虾：如果说没有壳，为何不能设断点在dllfunctioncall上？提示异常错误

这个软件是用crypkey做license的，版本信息如下：

05-08-16 10:02:27: CK Support Info

================================ CK INFO FILE ===============================
If support is required, please send this to your Software Manufacturer

1. DATE: 05-08-16 10:02:27
2. CK VERSION: 5.7 Build 1034
3. CK LIBRARY: CRP32DLL.DLL - Unified Win32 DLL (multiple thread RT Libraries)
4. LICENSE FILE PATH: D:\Program Files\ScanFile\license\sf2000sf.exe
5. PATH INFO: Local, Uses Driver
6. INIT ERR: 0 INIT OK
7. NT DRIVER ERRCODE: 0
8. CKLDRV.SYS FILEDATE: 00-02-04 11:53:12
9. CRYPSERV.EXE FILEDATE: 00-06-29 23:45:10
10. (32Bit) NT Ver=5.0 Build=2195
10A. (32Bit) WINVERSION: 8930005 OSID=2 Maj=5 Min=0 Build=2195
    Comment:[Service Pack 4]

05-08-16 10:02:27: F=1 E=-4 AUTHORIZATION NOT PRESENT

如果没有做加壳，那么就要写破解算法了是吧，遇到过这个壳的这种用法吗？

程序本身没有壳，可能是程序里面有Anti-Debug。对于VB程序，抱歉，我也研究不多。

Anti-Debug，哦，我找找看，vb这么冷门：（可是破解语言界限不是很明显把