目录

常见壳种类:
    1.UPX壳
    2.

脱壳步骤:
    1.UPX壳
        （1）单步跟踪法
        （2）ESP定律法
        （3）2次内存镜像法
        （4）一步直达法

正文

脱壳步骤

一、UPX壳

1、单步跟踪法

（1）找程序入口点

方法：运行程序后单步（F8）运行，遇到向下跳转（箭头向下）则放过，遇到向上跳转（箭头向上）则不让其实现。
跳转：红线代表跳转实现，绿线（白线）代表跳转没有实现。


遇到向上跳转时，在跳转的下一行单击右键—断点—运行到指定位置（F4）。
如图，在B8 01000000行处右击。

如果遇到向上跳转的下一句也是一个指令语句的时候，在下一行单击右键—断点—运行到指定位置（F4）。
如图，在8B1E行处右击。

跳转过程中注意观察命令行，遇到popad（出栈）下有一个跨度大的跳转时基本下几步会跳转到oep。
如图，popad后从005791EF跳转到0047738C，跳转较大。

（2）脱壳调试：

方法：
一是在push ebp行处单击右键—用OllyDump脱壳调试进程—方式1—脱壳—另存为.exe文件；
二是在push ebp行处单击右键—用OllyDump脱壳调试进程—方式2一脱壳—另存为.exe文件；
三是运行LordPE—找到未脱壳程序—右键—修正镜像大小—右键—完整转存—另存为.exe文件。


LordPE脱壳后运行程序报错修复方法：
运行ImpprtREC—打开原程序进程——修改oep参数为刚才OD中查找到的oep值—自动查找IAT—获取输入表—转储到文件
—选择脱完壳的程序，完成后桌面出现一个example_.exe文件即为修复的程序。