1.ESP定律
一开始就看到一大段加密的指令
我们先单步走
发现一个 push ebp, 然后下面立马跟着一个 cmp eax,eax
立马发现 ESP 突变
我们用 LordPE 脱壳
首先载入进程, 然后修复镜像大小
完整转存
然后 ImportREC 重建输入表 IAT
ImportREC 载入进程, 输入 OEP, 自动查找IAT, 获取输入表, 显示无效函数 发现没有无效函数, 转储到文件
脱壳成功~
2.下断 : BP IsDebuggerPresent
WinAPI IsDebuggerPresent 函数
运行,取消断点
ALT+F9 返回到用户代码
单步走 0040ED2A
发现这个窗口 :
SS 与 EDI 自行百度
计算 SS + EDI = OEP
Ctrl+G 转到 OEP !
