1.PUSHAD (压栈) 代表程序的入口点,
2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近
3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。
一、ESP定理脱壳
(通过下ESP硬件访问断点找到OEP)
1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值)
2.选中ESP,进行数据访问
3.选中下断的地址,断点—>硬件访问—>WORD断点。
4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程序OEP。
二、如何识别OEP:
(当正在单步的时候,突然跳到了一个另一个页面(且光标在第一行),这里通常就是OPE)
只能记忆不同程序的OEP特征
copy:
**1.Delphi **
00509CB0 > $ 55 PUSH EBP
00509CB1 . 8BEC MOV EBP,ESP
00509CB3 . 83C4 EC ADD ESP,-14
00509CB6 . 53 PUSH EBX
00509CB7 . 56 PUSH ESI
00509CB8 . 57 PUSH