ESP定律脱壳UPX

EPS定律

测试环境:WIN7虚拟机

1. 拖到PEID查壳。

ESP定律脱壳UPX 第1张

可以看到这是一个UPX的压缩壳。那么我们就来手脱掉这个壳,用今天的主人公EPS定律!

 

OD打开,之后可以看到一个PUSHad

ESP定律脱壳UPX 第2张

这里点否也没事,点确定也无大碍。

ESP定律脱壳UPX 第3张

我们进来可以看到一个PushadPUSHAD将通用寄存器的内容压入堆栈

其实EPS定律还有一个名字就叫堆栈平衡。

 

1. 我们按一下F8注意寄存器中的ESP是否有变化。

ESP定律脱壳UPX 第4张

ESP定律脱壳UPX 第5张

可以看到EPS变红了。

右键选择数据敞口中跟随,(HW break[ESP])这是一个快捷使用的ESP定律脱壳的小插件,但是使用插件虽然方便但是我们摇动的原理哦。

ESP定律脱壳UPX 第6张

选择是个HEX的数据,选择硬件访问Dword

选择好了之后呢按一下