ACProtect Professional 1.3C 主程序脱壳(2)(图)

4. dump

根据脱US UnpackMe的经验,不能在false OEP处dump,此时BSS section中许多数据已经初始化了。最好在第一句(push ebp)就dump。可是那个push ebp离false OEP很远L。

Packer EP的初始化环境:

先看看发出第1个call的壳代码: