脫殼 !EP(EXE PACK)1.2

0x1 查殼 將程序拖入！Exeinfo PE顯示如下。 程序拖入OD 看到第一行有pushad指令，利用ESP定律，執行一步F8。ESP定律是典型的堆棧平衡，因爲只要保存了所有寄存器的值都是要開始解密操作，等到解密完成後一般都會將所有初始化的寄存器值進行還原，即popad。所以我們只要在esp堆棧壓入的最後一個數據那裏設置硬件斷點（因爲堆棧式先進後出原則，esp現在指向的是壓棧的最後的數據，還原

>>阅读原文<<