脱壳学习笔记（一）

笔记根据《ximo脱壳基础》整理完成。

第一课《手脱UPX壳》
用到的工具：PEID、ollydbg
第一种方法：单步跟踪

首先查壳，判断壳的种类

单步跟踪的方法是向下的跳转实现，向上的跳转不实现。
使用F8进行单步跟踪。红线表示向下跳转，继续单步跟踪

红线表示向上跳转，鼠标单击下一行，按F4键使程序运行到当前位置

当找到popad出栈，下面跳转函数，跳转幅度很大。

继续单步跟踪，jmp函数跳转到真正的程序入口点

然后在入口点鼠标右键，选择-用ollydump脱壳调试进程进行脱壳，共有两种脱壳方式，首先使用第一种，点击脱壳按钮进行脱壳

使用PEID进行查壳，可以看到已经成功将壳脱掉

脱壳后程序无法在win10系统上运行，使用windows xp系统可以正常运行。

第二种方法：ESP定律法
首先使用ollydbg加载程序

单步运行一步，观察右侧寄存ESP，右键选择在数据窗口跟随

然后在数据窗口右键断点，选择硬件访问

然后删除硬件断点

然后单步，直接跳转到OEP

然后脱壳