所用工具:Ollydbg(吾爱版) PEID v0.95
运行环境:windows xp
使用PEID v0.95进行查壳 此程序的壳为ASPack
使用OD载入程序,ASPack壳查询OEP有6种方法,1.单步跟踪,2.ESP定律,
3.一步直达,4.二次内存镜像,5.模拟跟踪,6.SFX
现演示两次内存镜象法、模拟跟踪和SFX法来进行查询OEP
一、两次内存镜像法
首先使用OD 载入此程序
在入口处开始使用内存镜象法,先找到程序段的.rsrc处,设置访问中断,并按F9运行到所在位置
再次重复上述操作,选择.text处设置访问中断
此时程序运行到此处,并由此开始单步跟踪,直到找到OEP为止。
扫描二维码关注公众号,回复:
54209 查看本文章
二、模拟跟踪法
载入程序后,进入内存中,查看程序段中包含SFX的那一条,选中,并书写指令tc eip<00430000
左上角显示跟踪
此时OD开始自动查询OEP,需耐心等待完成。
三、SFX模拟跟踪
载入程序后,选择选项中的调试设置,出现调试选项,
在此选择SFX,并选择第二种方式
OD即开始自动查询OEP,经过重载后,找到程序正确的OEP
并使用ollydump脱壳
经PEID v0.95查询后,成功脱壳
