手脱UPX壳的四种方法之第二节：ESP定律

大家好,我是Hackerlonely [小雄] 今天给大家讲解 手脱UPX的四种方法 中的第二种方法

首先我们查壳，UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

之后我们用OD载入程序，下面大家注意看我操作吧。

方法2：ESP定律手动脱壳

打开后单步跟踪 F8 第二个选择右面的红色跳转代码右键，数据窗口中跟随。

然后看坐下角的地址，也就是第一个，dd 0012FFA4回车，

这里大家再默认的OD里面应该是16进制的，我们就dd 0012FFA4 ，回车，直接来到这里，

断点--硬件访问--WORD，F9运行， 到了这里我们就已经接近尾声了，最后一次跟踪，

ok，到了程序出口点了。我们来脱壳，Microsoft Visual C++ 6.0 SPx Method 1

看到了吗。我们又脱壳，o(∩_∩)o...，其实学什么东西都简单，用心就行。

0040E8C0 N>  60            pushad     //停在这里了，我们F8单步
0040E8C1     BE 15B04000   mov esi,NOTEPAD.0040B015 //ESP突现，0012FFA4

0040EA0F   - E9 B826FFFF   jmp NOTEPAD.004010CC //来到这单步就到了OEP

下节课给大家讲解:内存镜像法.