（2）认识常用工具

1. 介绍脱壳的基本过程

    脱壳的基本流程：

    侦壳——→OD载入程序——→寻找OEP——→脱壳（DUMP）——→修复 

    下面介绍下这些步骤常用的工具：

    侦壳：PEID   FI 

    调试程序寻找OEP：OD

    脱壳：LordPE  ，OD自带脱壳插件

    修复：Import REConstructor

2. 认识下常用工具

   侦壳工具：

    

    FileInfo（FI）--功能强大的侦壳工具，DOS界面。使用方法：可以拖放、可以使用DOS命令行

    PEID--功能强大的侦壳工具，自带脱壳插件（但是，效果不怎么样）建议不要使用。

  OD  ：

   

    OD窗口分为：反汇编窗口，寄存器窗口，数据窗口，堆栈窗口，信息窗口

    反汇编窗口：显示被调试程序的反汇编代码，标题栏上的地址、HEX 数据、反汇编、注释可以通

    过在窗口中右击出现的菜单 界面选项->隐藏标题 或 显示标题 来进行切换是否显示。用鼠标左

    键点击注释标签可以切换注释显示的方式。

    寄存器窗口：显示当前所选线程的 CPU 寄存器内容。同样点击标签 寄存器 (FPU) 可以切换显示

    寄存器的方式。

    信息窗口：显示反汇编窗口中选中的第一个命令的参数及一些跳转目标地址、字串等。

    数据窗口：显示内存或文件的内容。右键菜单可用于切换显示方式。

    堆栈窗口：显示当前线程的堆栈。

    常用快捷键：

    F2：设置断点，只要在光标定位的位置按F2键即可，再按一次F2键则会删除断点。

    F8：单步步过。每按一次这个键执行一条反汇编窗口中的一条指令，遇到 CALL 等子程序不进入

    其代码。

    F7：单步步入。功能同单步步过(F8)类似，区别是遇到 CALL 等子程序时会进入其中，进入后首

    先会停留在子程序的第一条指令上。

    F4：运行到选定位置。作用就是直接运行到光标所在位置处暂停。

    F9：运行。按下这个键如果没有设置相应断点的话，被调试的程序将直接开始运行。

    CTRL+F9：执行到返回。此命令在执行到一个 ret (返回指令)指令时暂停，常用于从系统领空返

    回到我们调试的程序领空。

    ALT+F9：执行到用户代码。可用于从系统领空快速返回到我们调试的程序领空。

    Shift+F9：忽略所有异常运行。

    这些就是常用的调试中的快捷键了。其他的操作在以后的脱壳操作中会一点一点教给大家。