脱壳八大法

课前准备：

右键发送到怎么设置

C:\Documents and Settings\Administrator\SendTo

黏贴快捷方式

一、ESP定律

2.右键点击寄存器窗口的ESP，数据窗口跟随

3.右键点击28设置硬件断点

4.再F9运行

5.F8执行下一步

6.点击右键用OD插件进行拖壳

二.F8单步跟踪

注意F7（进call），F4（跳过向上的循环），识别OEP代码

三.两次断点

四.最后一次异常法

跟着按shift+f9，忽略异常运行，但异常处还是会断下来，我们按了两次shift+f9就运行起来了，说明程序只有一次异常，那我们在这次异常处的se处理程序处下断(假如按了4次，那么就3次异常，按了3次后就在那个个se处理程序下断)

五.SFX

自动脱壳(自动查找oep)，先设置一下

设置好后，重新加载

六.模拟跟踪

载入点击m按钮,输入命令tc eip < 01013000 (tc 跟踪进入直到满足条件)  

可以和两次断点一起使用

七.出口标志（popad）

八.快速到OEP

f9运行后，堆栈窗口直接拖到最下面，找函数栈帧的最上面的返回地址(返回地址上面的就是)，看看是不是oep的样子