菜鸟脱壳之脱壳的基础知识(二)——DUMP的原理当外壳的执行完毕后，会跳到原来的程序的入口点，即Entry Point，也可以称作OEP！当一般加密强度不是很大的壳，会在壳的末尾有一个大的跨段，跳向OEP，类似一个壳与程序入口点的“分界线！当我们到达了程序的OEP，我们就需要进行DUMP程序 ...

前面讲了如何寻找OEP和脱壳，有的时候，Dump出来的时候不能正常运行，是因为还有一个输入表没有进行处理，一些加密壳会在IAT加密上面大做文章，用HOOK - API的外壳地址来代替真是的IAT的地址，让脱壳者无法正确的还原程序的原始IAT，使得程序不能被破解，所以我们处理这些被加密IAT的地址 ...

一步直达法 所谓的一步直达法就是利用壳的特征。壳一般在执行完壳代码之后需要跳转到OEP处，而这个跳转指令一般是call ，jmp ，push retn类型的指令，而且因为壳代码所在的区段和OEP代码所在的区段一般属于不同的区段，所以我们可以通过搜索这些特殊指令的机器码并查看其跳转范围，如果跳转 ...

面我们就学习一下“ESP定律”，ESP定律是在脱壳中运用最广泛的一种方法，适用于大部分程序脱壳。什么是ESP定律我们不用深究，就当作是一个名字吧。毕竟一个工具不能脱很多壳，但ESP定律却可以脱掉大部分的壳。这次我们利用OD手动脱壳。下面我们OD载入程序。这个提示框，我们点击“否 ...

　　　　　　脱壳第一讲,手工脱壳ASPack2.12的壳.ESP定律 一丶什么是ESP定律 首先我们要明白什么是壳.壳的作用就是加密PE的. 而ESP定律就是壳在加密之前,肯定会保存所有寄存器环境,而出来的时候,则会恢复所有寄存器的环境. 这个就成为ESP定律.(当然我个人理解.可能有更好 ...

基本知识 加壳程序 1、壳是什么？ 加壳是可执行程序资源压缩，是保护文件的常用手段。加壳过的程序可以直接运行，但是不能查看源代码，要经过脱壳才可以查看源代码。 2、加壳的原理是什么？壳是怎么运作的？ 加壳是利用特殊的算法，对EXE、DLL文件里的资源进行压缩、加密。类似 ...

OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP）， 只要我们找到程序真正的OEP，就可以立刻脱壳。 PUSHAD （压栈） 代表程序的入口点， POPAD （出栈） 代表程序的出口点，与PUSHAD相对应，一般找到这个，OEP就在附近。 常见寻找OEP脱壳 ...

脱壳——UPX脱壳原理 脱壳步骤 1 找到OEP 2 dump（导出)内存文件 3 修复 1 找到OEP 1 程序运行先从壳代码运行，壳代码执行完之后会跳转到真正的OEP，也就是是说第一步，首先要找到真正的OEP 如何找到OEP 大部分情况下，壳代码 ...