0040C001 >  60              PUSHAD
0040C002    E8 03000000     CALL tibm.0040C00A      我从这里进去的
0040C007  - E9 EB045D45     JMP 459DC4F7
0040C00C    55              PUSH EBP
0040C00D    C3              RETN

0040C007  - E9 EB045D45     JMP 459DC4F7
0040C00C    55              PUSH EBP
0040C00D    C3              RETN
0040C00E    E8 01000000     CALL tibm.0040C014       然后这里进去
0040C013    EB 5D           JMP SHORT tibm.0040C072  

0040C133    AC              LODS BYTE PTR DS:[ESI]
0040C134    3C E8           CMP AL,0E8
0040C136    74 0A           JE SHORT tibm.0040C142
0040C138    EB 00           JMP SHORT tibm.0040C13A
0040C13A    3C E9           CMP AL,0E9
0040C13C    74 04           JE SHORT tibm.0040C142
0040C13E    43              INC EBX
0040C13F    49              DEC ECX
0040C140  ^ EB EB           JMP SHORT tibm.0040C12D   
0040C142    8B06            MOV EAX,DWORD PTR DS:[ESI]     F4 到这里
0040C144   /EB 00           JMP SHORT tibm.0040C146
0040C146   \803E 01         CMP BYTE PTR DS:[ESI],1      我还脱过一个这里 cmp 的是7
                                                                                       但是现在这个壳变成是1的了
                                                                                       这个是变形的壳么

0040C149  ^ 75 F3           JNZ SHORT tibm.0040C13E   
0040C14B    24 00           AND AL,0

我只是看着教程跟着脱了那个 0040C146   \803E 01     CMP BYTE PTR DS:[ESI],7  
这个  0040C146   \803E 01         CMP BYTE PTR DS:[ESI],1    的我遵循脱壳的那个
回跳 后面断的那个规则  一直到预见 popad    pushebp这里脱掉 但是没管用
不明白  我是一超级菜鸟 请兄弟们给指点一下

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课