ESP定律脱壳
将带壳的程序载入OD,F8 单步向下,会发现只有 ESP 跟 EIP 是红色的,可以使用 ESP 定律
在 ESP 后面的字符串上右键,选择在数据窗口中跟随
可以看到左下角数据窗口已经定位到了相应的位置
我们在数据窗口从第一个开始随便选中几个,右键>断点>硬件访问>随便选一个
F9 运行一下
程序断下来后 F8 单步运行,一直到页面有较大的变化
如果不是这样,在窗口右键>分析>从模块中删除分析
然后到了这个界面后右键>用OllyDump脱壳调试进程
注意左下角的重建输入表,我们选择是脱一次壳,再选择否脱一次壳(因为不知道到底哪个可以)
打开发现重建输入表的可以
不重建输入表的不可以
Debug The World
