我本来是跟在原贴后面的,后来一想估计没人会去看就发出来了
37aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0T1M7K6q4Q4x3X3g2H3k6h3c8A6P5g2)9J5k6h3y4G2L8g2)9J5c8Y4y4Z5L8%4N6@1K9s2u0W2j5h3c8Q4x3X3g2H3K9s2m8Q4x3@1k6@1i4K6y4p5y4o6l9%4x3o6p5`. 原帖
我运行这个脚本进出现这种问题，首先是脚本运行到这里：
bpep:
    run
    cmp eip,ep
    je loop2
    jmp bpep
程序已经运行，弹出一个是否要升级程序的对话框。选定后，出现几次异常XXXXXXXX，shift-F9之后
这段脚本再循环几次进程就终止了。这是单步走脚本的结果。
如果直接运行脚本，我就没看到那几次异常。

之后看到VOLX大侠说把
gpa "ZwCreateThread","ntdll.dll"
bp $RESULT
改成
gpa "LdrLoadDll","ntdll.dll"
bp $RESULT
试做之后脚本就在这地方打转，一直不停。
loop3:   
    esto
    mov tmp,eip
    mov tmp,[tmp]
    cmp tmp,992C008A
    jne loop5
    mov oep,eax
    sti
    bprm oep,1

loop4:
    esto
    cmp eip,oep
    jne loop4
    jmp iat

loop5:
    cmp esp,esptmp
    jne loop3
我运行了十多分钟程序还是在那里不停的转。代码和堆栈的位置也基本是那一块。
偶而停在代码pop　esi处，一会又再继续循环。
这段脚本看上去是在一段内存中查找这段代码
004C1000    99              CDQ
004C1001    2C 00           SUB AL,0
004C1003    8A00            MOV AL,BYTE PTR DS:[EAX]
然后把eax，值放入OEP。这应该意味着eax就是OEP地址吧。
可这时候我的程序已经运行了。eax基本不可能是OEP了？
还希望大家指一二。如果有可能的话还希望，作者或者那位大侠能把这个脚本分析一下最好是能把execyptor深入解释一下，如果没时间，把大概意思写出来也成。这样我们这些初学者也可以按照脚本思路试着读一读。不至于搞错。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课