一外挂，用PEID检测为：YD“S。。。。用另一软件检测为VMP。。。查看PE，
用VMP0，VMP1，VMP2三段。。。
用OD载入，根据老大的书中方法，脱壳，如果在DUMP的时候，选择 重建输入表，则DUMP的文件无法运行，报错。。。。取消重建输入表，DUMP后没有报错，但是一运行没有反应。。。。
用二个OD再次载入DUMP。EXE与原来的EXE，分别运行到我认为的OEP（我DUMP的EIP处）处，（我是从
PUSH EBP
MOV EBP，ESP
。。。。
这样子的一个函数的开头处，也就是PUSH EBP这里重设为EIP，然后从这DUMP的，）对比执行这个调用，我发现，RTN的时候，这个EBP+4的返回地址，跟未脱壳的不一样，于是在RTN前PUSH XXX这一条地址，强制返回到与未脱壳的调用点一致的代码处。。。
然后保存DUMP2.EXE重新运行后，OK。。。

现在问题来了。。。。
1，我用那个专门重建输入表的软件，附加这个DUMP2后，在我认为的OEP，此软件没有找到任何的输入表，但是又另外一个软件却是能看到输入表相关函数。。。WHY？？另一软件，只能看，不能使用输入表。。。

2，我在公司的电脑是AMD的CPU，COPY回去后是，INTEL SAI YANG 的CPU，一运行就报错，需要重新用此法DUMP一次，在修改一次，才行，根据老大书中所说，用LARDPE修复DUMP的程序，重建PE，可是一重建后就报错，不知何故？ 我用相同方法，DUMP了同目录下的一DLL，COPY到家里的电脑后，能成功加载运行。。没有提示DLL出错。。。也都没有重建输入表也都是相同的操作方法，可DLL却是正常。。。何解？？？

3，如果我要做到跨平台，那么DUMP后，还应该怎么操作？？如果操作后EXE无法运行。。那怎么处理 ？？？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课