脱加密壳 只需在本进程代码里单步走 就可以了 注意一下大的转跳 如果转跳跑飞 就可以确定就是在这个转跳里 基本入口地址就在转跳不远的地方
脱加压壳 老版本是非常简单的事情 最古老的 你只需OD直接到入口 最新版本用单步走非常简单和加密壳的方法一样 还有一样 在程序代码里找到 popad 但是入口到popad不能有ret 如果跑一边 ret 会被跳过 直接 popad 也是有可能出现的情况
脱vmp壳 我要说明一件事情 加了随机地址的vmp壳 是无法脱的 因为 入口地址会出问题 你脱 那么入口地址一定是固定的 这样壳就不可能正常 但没有随机的过程编程的程序 oep就是401000 连对象编程的程序 也是 401000 之所以 脱后不正常 是因为 壳把资源和导入导出表 加密 但过程编程 只需跑完 virtualalloc 函数后 直接 转跳到 401000 就可以脱壳了
