一:单步跟踪法>>>>>
一路F8,但不能往回跳,遇到回调在下一句中F4运行到所选,NOP空指令,如果回调下面是NOP,则在NOP下F4
-------------------------------------------------------------------------------------------
二:ESP定律法>>>>>
1:F8一次,ESP见红
2:右键数据窗口跟随或者下<dd esp地址>命令再或者直接下<hr esp地址>这可以免去下硬件断点
3:数据窗口中选择前四个字节,右键>断点>硬件访问>word
4:F9运行程序
5:F8走到OEP
--------------------------------------------------------------------------------------------
三:内存镜像法>>>>>
1:内存镜像{快捷键ALT+M}
2:资源段F2
3:F9运行
4:加壳段F2
5:F9运行
6:F8走到OEP
四:模拟跟踪法>>>>>
1:资源段F2
2:下<tc eip<资源段地址>命令
3:F8走到OEP
五:搜索命令
比如PUSHAD则查找命令POPAD《入栈出栈》F8走到OEP