由于 我 是 新人，没有 权利 传送 附件
敬请 谅解
下载 地址 为 993K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4k6A6k6r3g2G2i4K6u0W2M7X3g2$3k6i4u0K6k6g2)9J5k6r3g2F1k6$3W2F1k6h3g2J5K9h3&6Y4i4K6u0W2L8X3g2@1i4K6u0r3j5h3I4T1N6h3#2K6i4K6u0r3N6h3&6H3j5h3y4C8K9h3&6Y4i4K6u0r3b7f1y4b7M7X3!0@1k6h3y4@1i4K6g2X3x3W2)9#2k6U0m8Q4y4h3k6e0N6r3q4F1k6r3q4J5k6q4)9#2k6W2)9J5z5q4y4@1L8$3I4W2L8W2)9#2k6V1y4G2k6r3g2Q4y4h3k6d9k6i4y4@1L8%4u0A6L8X3N6Q4x3U0W2Q4x3X3g2J5j5i4t1`.

这是 对 壳 ACProtect 2.0 的 脱壳 及 修复 的 flash视频
一共 有 8476桢，当 看到 6100桢 时 OD调试器可以 打开 表达式跟随的 对话框
与 我们使用的 OD 打开 不同，下面 还有三个选项VA/API,RVA,Offset,接着后面出现的是
跟随 到了
Address                Hex dump               Disassembly
＜&user32.dll>      A05ED377                00    USER32.CreateDialoogParamA            
＜&user32.dll>      DE040177                00    USER32.ShowWindow            
...
...
           
有 一大堆 windows  api函数 ,而我照着操作却只有
Address       Hex dump               Disassembly　　　　　　　　
00455000   /72 51           JB SHORT xorit_pr.00455053
00455002   |05 00885105     ADD EAX,5518800
00455007   |0098 510500A8   ADD BYTE PTR DS:[EAX+A8000551],BL
0045500D   |51              PUSH ECX
0045500E   |05 00B45105     ADD EAX,551B400
00455013   |00C4            ADD AH,AL
00455015   |51              PUSH ECX
00455016   |05 00D65105     ADD EAX,551D600
0045501B   |00E8            ADD AL,CH
0045501D   |51              PUSH ECX
0045501E   |05 00FA5105     ADD EAX,551FA00
00455023   |0010            ADD BYTE PTR DS:[EAX],DL

请问：为什么我们使用的OD 工具在表达式跟随对话框上与这个老外的有如此大的差距
　　　希望看懂了这一部分的高手们能详细解释下给我们菜鸟们听听

[培训]科锐逆向工程师培训第53期2025年7月8日开班！