ESP定律
教程课件:
https://www.xuepojie.com/thread-13269-1-1.html
百度网盘链接: https://pan.baidu.com/s/1i1QVB2R-HrkfVGpETU0S1Q
密码: 7tkd
- 先查壳,发现有壳
- 载入OD
开始画面 ,然后按下F8,发现八个寄存器只有ESP是红色,这个时候就可以使用ESP定律
然后在ESP寄存器上右键->数据窗口跟随,随便选择一点数据,只要从12ffc0开始,然后再这个数据上右键->断点->硬件访问->byte(字和双字都可以的)
运行
这个时候可以用OD自带的脱壳工具,也可以用其他的,比如LoadPE,偏移是25567,LoadPE先修复镜像大小,然后完全转存,保存一个exe文件后,用ImportREC导入表修复软件对文件进行修复,用这个软件的时候就需要用到通过ESP定律得到的25567这个偏移。