零基础逆向破解教程之图文!-第七课【ESP定律手动脱壳】

面我们就学习一下“ESP定律”,ESP定律是在脱壳中运用最广泛的一种方法,适用于大部分程序脱壳。
什么是ESP定律我们不用深究,就当作是一个名字吧。毕竟一个工具不能脱很多壳,但ESP定律却可以脱掉大部分的壳。
这次我们利用OD手动脱壳。下面我们OD载入程序。这个提示框,我们点击“否”。

 

 

 这里就是我们点击“否”后停留的位置。我们按下F8键,注意右侧的寄存器窗口内的变化。

 

 

 我们可以看到ESP和EIP数值变化了,并且只有他们两个为红色。然后我们在寄存器窗口里的ESP这里右键,选择“数据窗口中跟随”
也可以在最下面的Command窗口中输入dd 0012FFA4,跟踪到这个位置。

 

 

 然后我们在左下角的位置,注意左下角紫色部分(紫色部分是我选中让大家看的更清晰,并不是自动出现的紫色)
右键--断点--硬件访问--Word
下图这一步,也就是在最下面的Command窗口中输入HR 0012FFA4,直接进行断点。

 

 选择后,我们F9运行程序,程序会在我们断下的位置停住。如下图

 

posted @ 2020-02-15 16:35  扰扰  阅读(1629)  评论(2编辑  收藏  举报