脱壳

一：单步跟踪法>>>>>
一路F8，但不能往回跳，遇到回调在下一句中F4运行到所选，NOP空指令，如果回调下面是NOP，则在NOP下F4
-------------------------------------------------------------------------------------------
二：ESP定律法>>>>>
1：F8一次，ESP见红
2:右键数据窗口跟随或者下<dd esp地址>命令再或者直接下<hr esp地址>这可以免去下硬件断点
3：数据窗口中选择前四个字节，右键>断点>硬件访问>word
4：F9运行程序
5：F8走到OEP
--------------------------------------------------------------------------------------------
三：内存镜像法>>>>>
1：内存镜像{快捷键ALT+M}
2：资源段F2
3：F9运行
4：加壳段F2
5：F9运行
6：F8走到OEP
四：模拟跟踪法>>>>>
1：资源段F2
2：下<tc eip<资源段地址>命令
3：F8走到OEP
五：搜索命令
比如PUSHAD则查找命令POPAD《入栈出栈》F8走到OEP