常见脱壳知识：

1.PUSHAD （压栈） 代表程序的入口点 2.POPAD （出栈） 代表程序的出口点，与PUSHAD相对应，一般找到这个,说明OEP可能就在附近 3.OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP）， 只要我们找到程序真正的OEP，就可以立刻脱壳。

脱壳的几种方法： 方法一：单步跟踪

方法二：ESP定律脱壳

方法三：内存跟踪

方法五：最后一次异常法

第二部分，需要注意的几处重点 ESP脱壳时，对于有关键提示的（如：Pushw 或 Pushad ），一般选择关键提示下面那行地址中的ESP。 懒方法脱壳，这种方法对压缩壳有效；对加密壳作用不大。 “懒方法脱壳“在已开始的设置时需要注意（简化的设置步骤，详细的在文章最下面）： 1、首先，要忽略所有异常 //忽略所有异常——这个是必须的 2、设置：”调试选项“→”SFX“→”字节模式跟踪实际入口（速度非常慢）“ 3、载入相关程序。 //当载入后的程序停止后，所停址的那个地址就是我们Dunp加壳文件的那个地址 Hr命令：”hr“下的是字节断点。用ESP脱壳时，多数都是用的这个。 ================================================================================================= 第三部分，这篇文章的骨干部分！ 第一节 手脱EZIP 1.0 的壳

因为这个壳会修改PE头 用OD脱壳后即使修复了也不能运行。所以最简单的方法是采用 LordPE 这个工具脱壳。具体步骤： 首先，运行目标软件程序（不是用OD，而是想像平时使用一样，双击打开）→从 LordPE 列表中选中目标程序的进程→点”鼠标右键“ 选择”完整脱壳“。最后用 ImportREC 进行修复。 第二节 手脱wwpack 的壳 这个壳跟上面说的 EZIP 1.0 的壳一样，OD脱壳 ImportREC 进行修复 程序还是无法运行。所以还是要用 LordPE 进行脱壳工作。 具体步骤 ： 从 LordPE 列表中选中目标程序的进程→点”鼠标右键“ 选择”完整脱壳“。最后用 ImportREC 进行修复 。发现还是不能运行！

最关键的地方到了：用 LordPE 这个软件自带的重建 PE 修复功能；重建PE头，重建后，即可运行！ 第三节 手脱 UPX 壳的捷径 用我们已开始提到的”关键提示“。 具体操作：OD载入程序后，直接Ctrl+F，输入 POPAD ;点确定后 来到这个命令所在的位置。按F2，在这个地方下断；再按F9（运行）；停止后，按F2取消刚才下的断点。再F8单步！ 第四节 手脱 ASPCK 的壳 脱这个壳用ESP定律，还是相对快捷的。可以用载入程序后，第二行（是一个CALL）那里面的ESP。 //多数程序这个壳的第二行都是一个CALL 在左OD左下角的命令行中，输入命令：hr ESP地址（如 hr 0012FFA4）；F9 运行。然后从OD”调试菜单“中的”硬件断点“这一项将刚才下的断点删除，这点很重要！最后F8单步！

第四节 手脱 ASPCK 的壳 脱这个壳用ESP定律，还是相对快捷的。可以用载入程序后，第二行（是一个CALL）那里面的ESP。 //多数程序这个壳的第二行都是一个CALL 在左OD左下角的命令行中，输入命令：hr ESP地址（如 hr 0012FFA4）；F9 运行。然后从OD”调试菜单“中的”硬件断点“这一项将刚才下的断点删除，这点很重要！最后F8单步！ 第五节 用 内存镜像法 手脱FSG 1.33 和 PCshrink 的壳 1、忽略所有异常 2、Alt+M 打开内存镜像，找到第一个 ”.rsrc“ 3、F2（下断），F9（运行） 4、Alt+M 打开内存镜像，找到”Code“段； 5、F2（下断），Shift+F9【这点一定要记住，切记是 Shift+F9】运行； 6、先按F8，再按下F4，直接到达OEP

第六节 手脱 JDpack 壳 和 PEpack 1.0 的壳 最简单的方法 脱这个壳推荐使用内存镜像法； 我在用ESP脱壳的时候发现：ESP定律的速度和单步跟踪的速度差不多，所以在这里就不推荐了。相反，脱 PEpack 1.0 壳 的时候，用ESP定律是最快捷的方法。 第七节 手脱 PEDiminisher ；Dxpack 0.86；32lite 0.03a ；PEtite 2.2 这几种壳的简单方法 脱PEDiminisher ；Dxpack 0.86 ；这两种壳的时候，直接用之前讲到的ESP定律，即可完美脱壳。命令：【hr ESP地址】 用ESP脱 32lite 0.03a 后 要注意的是，需要用ImportREC 这个工具进行修复。如：00410D50 在输入框中输入 10D50 就可以了 【004舍去】 在用ESP定律脱 PEtite 2.2 的时候，推荐选择 Pushad 下面那行地址中的 ESP

第八节 手脱 Exestealth 2.72 的壳 看到这或许大家会沉迷与ESP定律当中，在这里提醒大家：Exestealth 2.72 的壳 用我们一开始提到的”懒方法脱壳“是最简单的；具体步骤，可以参考文章第二部分。

第九节 手脱nspack（北斗）1.3 的壳 1、ESP定律，命令：hr ESP地址 【脱壳后程序不能正常运行】 2、用 ImportREC 这个工具进行修复，修复后程序正常运行。 第十节 另类方法脱 ASPack 2.12R 壳的技巧 Ctrl+S 搜索：retn 0C【retn和零C 中间有个空格】 找到后向下看，如下： retn 0C push 0 //在 retn 0C 的下面 retn //在这个地方按 F2（下断） ；F9（运行） 停止后按 一下 F8（单步）；再按一下 F7（跟进）

这看不懂？没关系，要是我，我也看不懂，所以我早有准备；详细步骤，如下（这是某程序的一部分）： 程序中断后来到这里： 0046B3B8 C2 oc00 retn 0C //开始F8（单步） 0046B3B9 68 64584500 push registra.00455864 //这里调用来自 00455864 （OEP） 0046B3C0 C3 retn //F7(跟进) 步入到OEP 注意：这种壳ESP不能直接脱。 =============================================================================