有个程序查壳是 Armadill0 1.xx-2.xx ,没有双进程,fly说是标准壳
我是按XCyber 的方法一步步做的,其文章见下连接
a05K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2U0M7$3c8F1i4K6u0W2L8X3g2@1i4K6u0r3L8r3!0D9k6h3g2$3k6g2)9J5c8X3q4J5j5$3S2A6N6X3g2Q4x3V1j5J5x3o6l9@1i4K6u0r3x3o6W2Q4x3V1j5J5y4q4)9J5c8Y4m8J5N6r3M7K6x3U0k6Q4y4h3k6U0M7X3q4U0K9#2)9J5k6h3q4K6M7s2R3`.

下bp VirtualProtect 中断N次后回到主线程,F8到
0FC8                bswap eax
F7D1                not ecx
0FC8                bswap eax
F7D1                not ecx
8B45 F4             mov eax,dword ptr ss:[ebp-C]
2BDF                sub ebx,edi
0158 3C             add dword ptr ds:[eax+3C],ebx     ;把ebx设为0,
继续F8,到达下面
E8 ECABFDFF         call 0AF01000
83E0 03             and eax,3
8D4D F8             lea ecx,dword ptr ss:[ebp-8]    40                  inc eax
66:0147 06          add word ptr ds:[edi+6],ax        ;这里改ax为0

一修改后下面就多出几行

00AF3438     C4DB                les ebx,ebx                           ; 非法使用寄存器
00AF343A     FD                  std
00AF343B     FF8B D88D4DF8       dec dword ptr ds:[ebx+F84D8DD8]
00AF3441     83E3 1F             and ebx,1F
00AF3444     43                  inc ebx

然后就运行过不去了,提示错误并退出.
到底我错在哪里??

[培训]科锐逆向工程师培训第53期2025年7月8日开班！