刚学会用ESP定律脱壳

老海 · 发表于 2008-3-6 23:02:03

怎么确定用ESP定律，我一般是看OD载入后有没有PUSHAD，如果有，F8单步到这行后再F8一次到PUSHAD的下一行，这时就可以看ESP了，有变化如：0012FFA4、或0012FFA9等这些自己多练习就可以掌握的。

暗夜舞者 · 发表于 2008-3-6 23:11:08

好东西要学习呀！

暗夜舞者 · 发表于 2008-3-6 23:12:11

哈哈 ~堆栈平衡！！！

lcyyyx · 发表于 2008-3-17 20:06:06

支原x靼　

wangweizhou · 发表于 2008-3-18 08:47:00

支原!/:014

wangzhang · 发表于 2008-3-19 07:50:54

学习下/:014

丰城龙剑 · 发表于 2008-3-30 23:30:07

值得学习，值得试试！

b12021 · 发表于 2008-4-1 17:32:44

俺大力支持ing.

挺楼主ing..

habaobao · 发表于 2008-4-2 13:43:05

原帖由 pourjet 于 2007-5-3 13:58 发表
跳到这里了。右键 "脱壳在当前调试的进程 " 取个名字保存下。至此完美脱壳。

怎么我的OD里的点右键,没有"脱壳在当前调试的进程 " 这个选项的啊????

用LordPE脱也行。

habaobao · 发表于 2008-4-2 13:45:06

原帖由 DecoderEx_ 于 2007-8-11 21:54 发表
怎么看esp的值，确定是否试用esp定律
/:010 我每次还要看其他的寄存器，为什么入栈的时候esp会变红？

去看下ESP定律原理的文章，知其然亦知其所以然。

		自动登录	找回密码
密码			加入我们

[原创] 刚学会用ESP定律脱壳