目前我所知upx脱壳的三种方法
1,单步跟踪法:发现往回跳的都给我按F2 Breakpoint,如果遇见连续多jump就在最后个jump后设置断点,不停的找啊找,要有耐心
2,esp定律法:首先先step over(F8)pushad压栈,同时会发现esp发生改变,再使用command命令输入hh esp值 或 hr esp值
dump中会跳转到esp的位置,同时右键breakpoint到硬件访问 word或dword(double word),F9运行
//养成一个好习惯,这个时候就应该把硬件断点删除!!
之后在F8就找到oep(程序入口点)
3,这个方法最快,可能也就不实用吧
ctrl+F查找popa(出栈)别点整个区域,因为有多个区域
F2加断点之后运行,之后再找到大跨越的jump就可以跳到oep了