面我們就學習一下“ESP定律”,ESP定律是在脫殼中運用最廣泛的一種方法,適用於大部分程序脫殼。
什么是ESP定律我們不用深究,就當作是一個名字吧。畢竟一個工具不能脫很多殼,但ESP定律卻可以脫掉大部分的殼。
這次我們利用OD手動脫殼。下面我們OD載入程序。這個提示框,我們點擊“否”。
這里就是我們點擊“否”后停留的位置。我們按下F8鍵,注意右側的寄存器窗口內的變化。
我們可以看到ESP和EIP數值變化了,並且只有他們兩個為紅色。然后我們在寄存器窗口里的ESP這里右鍵,選擇“數據窗口中跟隨”
也可以在最下面的Command窗口中輸入dd 0012FFA4,跟蹤到這個位置。
然后我們在左下角的位置,注意左下角紫色部分(紫色部分是我選中讓大家看的更清晰,並不是自動出現的紫色)
右鍵--斷點--硬件訪問--Word
下圖這一步,也就是在最下面的Command窗口中輸入HR 0012FFA4,直接進行斷點。
選擇后,我們F9運行程序,程序會在我們斷下的位置停住。如下圖