逆向入門之使用ESP定律脫殼

使用ESP定律脫殼實戰

查殼

載入OD

• 首先F8
  

  在這麼多寄存器中，只有ESP是紅色的，則可以使用ESP定律來脫殼

• 選擇好ESP地址，然後右鍵，在數據窗口中跟隨
  
  這個時候就來到了ESP指定的地址
  
  然後選擇幾個數據（多少無所謂）
  
  最右邊三個選項隨便選，都無所謂

  然後點擊運行，這個時候程序就會停在我們設置好的硬件斷點上
  

  然後刪除硬件斷點
  

  然後一直F8 知道出現這個頁面
  
  然後右鍵->分析->從模塊中刪除分析
  
  然後右鍵->用OllyDump脫殼調試進程
  
  複製修正值
  

LordPE

PE函數修復

這兒爲剛纔複製的修正值

點擊自動查找和獲取輸入表，然後點擊顯示無效函數，如果有無效函數就刪除無效函數，然後點擊修復轉存文件

這兒選擇我們用LordPE導出的文件

繞過自校驗

由於許多殼都有自校驗，會自動檢測文件大小，如果不同會自動退出，所以我們打不開文件，這兒我們就需要繞過自校驗

設置斷點

點擊運行，程序停在文件大小檢測函數

然後點擊反彙編窗口跟隨，就會自動跳轉到這個函數

然後在第一行下斷點，然後刪除我們第一次設置的斷點，即獲取文件大小的那個斷點
然後F9運行程序
這個時候就有一系列比較，我們只需要修改一些程序，比如說NOP不跳轉之類的~~

這個時候再保存文件就可以了~~

這樣就完成了所有工作