面我们就学习一下“ESP定律”,ESP定律是在脱壳中运用最广泛的一种方法,适用于大部分程序脱壳。
什么是ESP定律我们不用深究,就当作是一个名字吧。毕竟一个工具不能脱很多壳,但ESP定律却可以脱掉大部分的壳。
这次我们利用OD手动脱壳。下面我们OD载入程序。这个提示框,我们点击“否”。
这里就是我们点击“否”后停留的位置。我们按下F8键,注意右侧的寄存器窗口内的变化。
我们可以看到ESP和EIP数值变化了,并且只有他们两个为红色。然后我们在寄存器窗口里的ESP这里右键,选择“数据窗口中跟随”
也可以在最下面的Command窗口中输入dd 0012FFA4,跟踪到这个位置。
然后我们在左下角的位置,注意左下角紫色部分(紫色部分是我选中让大家看的更清晰,并不是自动出现的紫色)
右键--断点--硬件访问--Word
下图这一步,也就是在最下面的Command窗口中输入HR 0012FFA4,直接进行断点。
选择后,我们F9运行程序,程序会在我们断下的位置停住。如下图