队里的ljzjsc大佬近期在研究脱壳，而我自己反思了一下，开学两个月以来，基本没有学太多东西，一直在玩《我的世界》（有些自闭症的我第一次在网上结交了一些朋友），太颓废了。今天开始着手研究脱壳。萌新一个，笔记比较浅显，望大佬们指教~~

单步调试法

善用ctrl+f8和f4多次调试，善于跳出循环，直到找到OEP(original entry point，程序入口)。

对于简单的壳，如果善于静态调试的话，我个人认为哪怕错过了OEP，只要程序完全解压了，完全可以把任意一处当作OEP，然后把程序dump出来，放到ida中静态分析。缺点是程序无法运行，无法动态调试。

以《加密与解密》第十六章的随书文件RebPE.exe为例。

将文件拖进OD：

f8运行到413001处按f7进入函数：

ctrl+f8自动单步步过运行，直到看到一个大循环，按f8停止自动单步步过运行。

此时手动f8运行一遍这个循环，找一下循环出口。

下图蓝色标记处即为循环出口。单击此处，f4运行到此处。

然后f8一直运行到401130.

这里就是OEP.

工作区内右键 -> 用ollydump脱壳调试程序

即可完成脱壳。

两次内存断点法

一般的壳会依次对.text(代码)、.rdata、.data、.rsrc(资源)区块进行解压处理，所以可以现在比如.rsrc区块处设置内存访问断点，当程序中断时，便已经完成了对.text的解压。

然后此时我们再对.text区块设断点，当外壳跳到OEP返回代码段时即可触发内存访问断点。

仍然以RebPE.exe为例。

alt+m来到内存页，点击图中蓝色处（RebPE的.rsrc区段），按下f2设置断点。

f9(运行)或者shift+f9(忽略错误运行)，中断在此处：

再次alt+m来到内存页，点击图中蓝色处（RebPE的.text区段），按下f2设置断点。

再次f9(运行)或者shift+f9(忽略错误运行)，中断在此处：

按两次f8，来到此处：

这就是OEP.

ESP定律

原理：外壳初始化的现场环境（各寄存器的值）与原程序的现场环境要相同（主要是esp,ebp等重要的寄存器值）。

通常用pushad/popad(push/pop eax,ecx,edx,ebx,esp,ebp,esi,edi)和pushfd/popfd(push/pop 各标志寄存器)来保存和恢复现场环境，标志寄存器不太重要，一般不处理它。

用法：把esp入栈时的地址设硬件断点，之后恢复现场的时候寄存器的值一定是从栈中恢复的，当访问栈中此处时，运行中断，此处离OEP不远了。

下面是做法，仍以RebPE为例。

程序拖进OD:

f8一次，pushad，各寄存器入栈：

此时的ESP为19ff54，我们在此处设置硬件访问断点，在下图箭头处输入hr 19ff54并回车，hr是硬件访问断点，hw是硬件写断点。

如果你想取消该断点，可以：调试 -> 硬件断点

设置好断点后f9，中断在此处：

然后f8两次，到达OEP.