引用：http://blog.csdn.net/qiurisuixiang/article/details/7660448

內存鏡像法的步驟

（1）用OD打開軟件

（2）點擊選項——調試選項——異常，把里面的忽略全部√上。CTRL+F2重載下程序

（3）按ALT+M,打開內存鏡象，找到程序的第一個.rsrc.按F2下斷點，然后按SHIFT+F9運 行到斷點，接著再按ALT+M,打開內存鏡象，找到程序的第一個.rsrc.上面的代碼段.text（或者CODE）（也就是00401000處），按F2下斷點。然后按SHIFT+F9（或者是在沒異常情況下按F9）， 直接到達程序OEP

實戰

1 查殼

用PEID查殼的結果如下圖，可以看出程序加了ASPack2.12的殼

2 尋找OEP

(1)用OD載入該程序

（2）依次選擇OD選項（T）下的調試設置（D）子選擇，彈出如下對話框，切到異常選項卡，將忽略下的子項全部勾上

（3）Ctrl + F2重新載入要脫殼的程序，Alt + M打開內存鏡像，找到程序的第一個.rsrc.按 F2下斷點，按下F9運行程序

（3）再按ALT+M,打開內存鏡象，找到程序的第一個代碼段.rsrc.上面的.text，按F2下斷點， 按下F9運行程序

（3）直接到達OEP

注：有時候在給軟件脫殼，千心萬苦找到了OEP，卻發現不是常見的“push ebp”，而是出 現如下圖這種情況，其實這是OD將這段代碼當做數據了沒有進行反匯編識別，解決方 法是，選中一行右鍵選擇“分析”菜單，選擇“分析”下的“分析代碼”，OEP就會出 現在眼前了

3 脫殼

可以使用OD自帶插件，也可以用LordPE，方法和前面"單步跟蹤法"中使用方法一樣

4 修復

可以使用ImportFix，方法和前面"單步跟蹤法"中使用方法一樣

?

總結

以上是生活随笔為你收集整理的破解入门（六）-----实战“内存镜像法”脱壳的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。