脫殼的各種方法

1.用OD載入，不分析代碼；

2.單步向下跟蹤F8，是向下跳的讓它實(shí)現(xiàn)；

3.遇到程序往回跳的（包括循環(huán)），我們在下一句代碼處按F4（或者右健單擊代碼，選擇斷點(diǎn)——運(yùn)行到所選）；

4.綠色線條表示跳轉(zhuǎn)沒實(shí)現(xiàn)，不用理會(huì)，紅色線條表示跳轉(zhuǎn)已經(jīng)實(shí)現(xiàn)；

5.如果剛載入程序，在附近就有一個(gè)CALL的，我們就F7跟進(jìn)去，這樣很快就能到程序的OEP；

6.在跟蹤的時(shí)候，如果運(yùn)行到某個(gè)CALL程序就運(yùn)行的，就在這個(gè)CALL中F7進(jìn)入；

7.一般有很大的跳轉(zhuǎn)，比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETE的一般很快就會(huì)到程序的OEP。

方法二：

ESP定理脫殼（ESP在OD的寄存器中，我們只要在命令行下ESP的硬件訪問斷點(diǎn)，就會(huì)一下來到程序的OEP了?。?/p>

1.開始就點(diǎn)F8，注意觀察OD右上角的寄存器中ESP有沒出現(xiàn)；

2.在命令行下：dd 0012FFA4(指在當(dāng)前代碼中的ESP地址)，按回車；

3.選種下斷的地址，下硬件訪問WORD斷點(diǎn)；

4.按一下F9運(yùn)行程序，直接來到了跳轉(zhuǎn)處，按下F8，到達(dá)程序OEP，脫殼。

方法三：

內(nèi)存跟蹤：

1：用OD打開軟件；

2：點(diǎn)擊選項(xiàng)——調(diào)試選項(xiàng)——異常，把里面的忽略全部√上！CTRL+F2重載下程序；

3：按ALT+M，DA打開內(nèi)存鏡象，找到第一個(gè).rsrc.按F2下斷點(diǎn)。然后按SHIFT+F9運(yùn)行到斷點(diǎn)，接著再按ALT+M，DA打開內(nèi)存鏡象，找到.RSRC上面的CODE，按F2下斷點(diǎn)。然后按SHIFT+F9，直接到達(dá)程序OEP，脫殼！

方法四：

一步到達(dá)OEP（前輩們總結(jié)的經(jīng)驗(yàn)）。

1.開始按Ctrl+F，輸入：popad（只適合少數(shù)殼，包括ASPACK殼），然后按下F2，F(xiàn)9運(yùn)行到此處；

2.來到大跳轉(zhuǎn)處，點(diǎn)下F8，脫殼之！

方法五：

1：用OD打開軟件；

2：點(diǎn)擊選項(xiàng)——調(diào)試選項(xiàng)——異常，把里面的√全部去掉！CTRL+F2重載下程序；

3：一開是程序就是一個(gè)跳轉(zhuǎn)，在這里我們按SHIFT+F9，直到程序運(yùn)行，記下從開始按F9到程序運(yùn)行的次數(shù)；

4：CTRL+F2重載程序，按SHIFT+F9（次數(shù)為程序運(yùn)行的次數(shù)-1次）；

5：在OD的右下角我們看見有一個(gè)SE 句柄，這時(shí)我們按CTRL+G，輸入SE 句柄前的地址；

6：按F2下斷點(diǎn)，然后按SHIFT+F9來到斷點(diǎn)處；

7：去掉斷點(diǎn)，按F8慢慢向下走；

8：到達(dá)程序的OEP，脫殼！