用堆栈平衡定律脱壳【附图】
用PEiD查壳,看【图1】
用OD载入,【图2】,注意ESP的值变化
F8单步,来到这,看见ESP值变化,在命令窗口中输入【图3】
继续F8,单步,走到我们想到的地方【图4】
现在到了OEP了,接下来脱壳【图5】
看清【图6】,记下修正值,如果程序需要修复要用到这个值
用PEiD查看已经脱壳的程序【图7】
用修复软件,先运行没有脱壳的程序,然后选中他的进程【图8】
输入【图6】中记下的OEP,点击自动搜索TAT,【图9】
获取输入表【图10】,看见输入表函数都是有效的。
抓取需要修复的程序【图11】