今天接触到的是用ESP定律脱ASPack。
用到的示例程序还是《Shark恒零基础百集VIP破解教程》中的示例程序:
查壳发现是ASPack:
下面载入OD:
看见pushad的指令,单步调试,发现寄存器窗口就ESP显示为红色(表示可以用esp定律脱壳):
选中右键选择在数据窗口中跟随:
在数据窗口中选中部分设置断点:
查看硬件断点,发现已成功下断:
点击寄存窗口的esp右键,选择“HW break[esp]"也可以达到下断点的目的:
这里下断点的目的是到达程序的oep(程序的入口点,可以用OD载入,不分析代码)
接下来运行程序,单步调试直至在反汇编窗口出现一下界面:
右键,选择分析-从模块中删除分析,窗口恢复正常界面,然后删除硬件断点(避免调试的时候断点产生影响),接下来开始脱壳(使用OD自带插件脱壳):
分别以重建输入表和不重建输入表的方式脱壳,保存两个文件。发现重建输入表的文件能够正常打开,查壳发现已经成功脱壳:
