本文適合入門級別脫殼選手學習，可以作為方法總結筆記。目錄如下：

1.ESP定律的本質
2.二次內存鏡像方法
3.搜索命令機器碼(不斷擴展)
4.模擬跟蹤之SFX法
5.最后一次異常法
6.DUMP修復方法

1.ESP定律的本質

ESP定律的本質是在原程序只有ESP寄存器被改變時，(如pushad)設置硬件訪問斷點。當程序再次恢復保存棧區中的數據值時，引起中斷。
在OD中有ESP定律的快捷方法，但是在X32dbg中必須知道它的原理才能成功下斷點。

在ESP定律運行之后，要養成清除ESP硬件斷點的習慣，不然可能影響后續分析。

2.二次內存鏡像方法

使用二次斷點法追蹤OEP的常見步驟：
　　1、將待脫殼程序載入到OD中，單擊OD的“選項”菜單下的“調試設置”命令，在彈出的“調試選項”對話框中切換到“異常”選項卡，勾選該選項卡下的所有復選框，也就是忽略所有異常；
　　2、按鍵盤上的“ALT+M”組合鍵打開OD的內存窗口；
　　3、在OD的內存窗口中找到“.rsrc”區段，單擊該區段后按鍵盤上的“F2”鍵在該區段上下一斷點；
　　4、按“Shift+F9”讓程序運行到斷點心處，而后再次打開OD的內存窗口，這次在“.rsrc”區段上面的“.code”區段（有的時候就是“.text”）上下一個斷點；
　　5、按“shift+F9”讓程序運行到第二次下的斷點處，然后單步跟蹤既可以來到OEP。

這里注意上面雖然下了兩次內存訪問斷點，但是本質是不一樣的，目的也是不一樣的。
1.對data段下內存

總結

以上是生活随笔為你收集整理的脱壳基础篇——常用六操作的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。