2.6k 2 分钟

# original entry point 原始入口点 常见脱壳知识:1.PUSHAD (压栈) 代表程序的入口点  2.POPAD (出栈) 代表程序的出口点,与 PUSHAD 对应,一般找到这个 OEP 就在附近拉!  3.OEP:程序的入口点,注意这点:软件加壳就是隐藏了 OEP(或者用了假的 OEP),  只要我们找到程序真正的 OEP,就可以立刻脱壳。 网上说的 esp 定律脱壳时都说到 “当 esp 变红时下访问断点” 却没说明为什么,其实 od 当寄存器变化时就会变红,也就是说实质是留意堆栈什么时候变化。 而把壳当成一个 call,当调用壳这个 call 时会压栈,esp...