手动脱壳（二）

手动脱壳(二) ESP与跨指令寻OEP法
手动脱壳一般分为三种，一是查找真正的入口点；二是抓取内存镜像文件；三是重建PE文件
理论上，当程序执行时，外壳代码首先获得控制权，模拟Windows加载器，将原来的程序恢复到内存中。这时，内存中的数据就是加壳前的镜像文件了。适时将其抓取并修改，即可还原到加壳前的状态。
OEP理论：外壳程序负责在内存中把原程序解压，还原，并把控制权还给解压后的真正程序，再跳到原来的程序入口点。一般的壳在这里会有一个明显的“分界线”，这个解压后真正的程序入口点称为“”OEP”（Original Entry Point，原程序入口点）
所以手动脱壳最主要的就是找到OEP，只要找到OEP，就可以直接dump脱壳了

3.根据跨段指令寻找OEP，、
绝大多数PE加壳程序在被加密的程序中加上一个或者多个区块，当外壳代码处理完毕就会跳到程序本身的代码处，所以根据跨段的转移指令就可以找到真正的程序入口点了。（基本的都是jmp指令）
剩下的就是在OEP处dump即可
4.根据栈平衡原理寻找OEP
加壳程序在初始化时保存各寄存器的值，待外壳执行完毕恢复各寄存器的内容，最后跳转到原程序执行，通常用pushad/popad，pushfd/popfd指令对来保存和恢复环境，也就说在编写加壳软件时，必须遵守栈平衡原理。
在脱壳时，根据栈平衡原理对esp 设断，很快就能找到OEP了
接下来上示例，这是在一个线上赛的一道逆向题 ，
首先拉进PEID看一下是加的什么壳，一般都是简单的upx壳
拉入od

按f8走一下，观察esp

在执行pushad后，各寄存器的值都被压入栈中，这是右键点击esp的值，数据框口跟随

在数据框口，也就是压入esp的地址设置硬件访问断点，然后f9运行程序，外壳代码处理结束后，在调用popad指令恢复现场环境时访问这些栈od将会中断，此处就离OEP不远了