本文章讲述了脱壳的常用方法

---

常用方法

esp定律
先步过
然后esp地址跟随
然后选择硬件断点->word
然后运行，根据运行情况进行判断
找到oep
映像起点：
查找内存
查看堆栈调用

最后进行将镜像dump下来 用loadPE 矫正映像大小 然后完全转存
修复输入表 用importREC

手动查到IAT地址
寻找API函数 跟随找到起始地址 计算大小

修改区段名 用loadPE

PE头修改程序 处理方法
设置事件 系统断点 然后查看mem 在PE头设置断点
alt+f9 运行到用户代码 然后单步找到oep 最后进行脱壳

附加数据的处理
查找到当前程序最后一个区段的结束位置
用WinHex 打开程序 跳转地址复制
然后将复制的数据复制到你修复的程序最后