刚学会用ESP定律脱壳

网络迷途

004073B0   /75 08           jnz short 11FC.004073BA       会停在这行 点击 调试－硬件断点－删除－确定  然后 按F8
004073B2   |B8 01000000     mov eax,1  
004073B7   |C2 0C00         retn 0C        
004073BA   \68 FC114000     push 11FC.004011FC   
004073BF    C3              retn      
004011FC    68 901C4000     push 11FC.00401C90       直接跳到这里了！
00401201    E8 F0FFFFFF     call 11FC.004011F6                  ; jmp to msvbvm60.ThunRTMain
00401206    0000            add byte

而且脱了后用PEiD检查，内容为“什么都没找到　＊”不知是不是脱掉了？

SKY-LG

希望大家有好东东都拿到这来分享一下啊！

jacklymin

不错，学习了。。。

angelfish

呵呵 。。。。学习下。。。

105200951

原帖由 pourjet 于 2007-5-3 13:58 发表
跳到这里了。右键 "脱壳在当前调试的进程 "  取个名字 保存下。至此完美脱壳。



怎么我的OD里的点右键,没有"脱壳在当前调试的进程 " 这个选项的啊????

总该能找着一个DUMP的英文字母吧

qzhy

自己用ESP定律老搞不定··

中特仙

学习学习，谢谢老大的无私奉献!

pyzlq

呵呵，ESP定律还是不错的，我也经常用

bloveocean

玩了下，这个壳简单。直接HW 12FFC0到了入口点（笑，没强度了）
dump后，再笑，居然不用修复，直接搞定。

xu5902

好东东/:good 都来分享一下啊！