脱壳八法笔记

ESP定律

1.OD载入
2.F8寄存器窗口找到红色ESP
3.右键数据窗口跟随
4.选中数据硬件访问
5.F8到OEP，从模块中删除分析
6.F8右键 用OllyDump脱壳

单步跟踪法

1.OD载入
2.F8到有跳空运行记录下来，重新运行F8到跳空的地方F7
3.F8到有向上执行的，选择向上执行的代码的下一行F4
4.F8到OEP
5.用OllyDump脱壳

两次断点法（内存镜像法）
1.OD载入
2.点M在 文件名 .rsrc第一次下断点
3.shift+F9然在点M 在 .rsrc上面数第二个下断点
4.shift+F9 F8到OEP
5.用OllyDump脱壳

最后一次异常法
1.载入OD
2.调试选项 异常 全部忽略
3.F9然后在运行前一次找SE按enter
4.F8，遇到循环F4 然后F8到oep
5.用OllyDump脱壳

SFX法
1.载入OD
2.选项-调试选项-SFX-字节方式跟踪
3.OD重新载入
4.用OllyDump脱壳

模拟跟踪法
1.OD载入
2.用两次断点法（内存镜像法）
3.在.rsrc下面一个然后在command查找 tc eip<地址
4.等待跟踪
5.用OllyDump脱壳

出口标志法
1.OD载入
2.右键查找命令，整个块不能勾上
3.查找popad
4.找到popad然后F4，如果跑飞运行起来就重新载入，往下个popad F4
5.到达popad F8到OEP
6.用OllyDump脱壳

秒到OEP法
1.载入OD
2.运行-堆栈窗口找返回跟随
3.跟随的汇编代码找OEP

LordPE找到程序路径，纠正镜像大小然后完全脱壳 保存

Import REC找到进程，OD复制OEP地址，把oep复制进REC iat那里，点自动查找iat，再点获取输入表，点无效函数，找到无效函数右键删除指针，转存储文件 lordpe保存的文件

脱壳8法已经有很多记录，基本都相同。
但是最后使用REC修复IAT的总结，我想简单的纠正一下，注意是简单的纠正一下，不聊的太深刻。。
主要是楼主修复IAT总结的部分，怕会让一些刚接触脱壳技术的新手误解。（老手当然不会误解啦）

1，IAT起始位置我觉得还是手动定位一下比较好。
2，找到无效指针不建议直接右键删除或剪切，除非你确定该壳不存在IAT重定向与AntiDump

Shark恒 发表于 2016-2-12 22:03
脱壳8法已经有很多记录，基本都相同。
但是最后使用REC修复IAT的总结，我想简单的纠正一下，注意是简单的 ...

表示不懂在说什么

好的 谢谢   

看了一下，表示新手很受益！支持楼主多发一些心得体会

评分标准又变了吗？？早上评不了分了

祝吾爱汇编论坛全体成员2016年开心每一天！谢谢分享！

学习了，顺便祝吾爱汇编论坛全体成员2016年开心每一天！谢谢分享！

[快捷回复]-感谢楼主热心分享！