红黑联盟十周年：脱壳破解 第一课 工具的介绍+手脱UPX

大家好，我是红黑联盟的crack_qs 由于嗓子不好 就不录声音了

脱壳破解系列 - 第一课 工具的介绍+手脱UPX

【脱壳一般流程】

查壳(PEID)--->寻找OEP(OD)--->脱壳/Dump(LordPE)--->修复(ImportREC)

【工具介绍】
1、查壳
   PEID--功能强大的侦壳工具
  
2、寻找OEP
  
ollydbg 简称OD

几个经常使用的快捷键

注意左下角提示
F2：在需要的地方下断点
F3：选择打开程序
F4：运行到所选择的那一行
F7：单步进入(让call不运行程式)
F8：单步跟踪
F9：执行程序（运行程序） 

一会看教程中的试例

其中要特别讲一下2个F9的区别和作用：

Shift+F9 - 与F9相同，但是如果被调试程序发生异常而中止，调试器会首先尝试执行被调试程序指定的异常处理。

Alt+F9 - 执行直到返回到用户代码段，跟踪程序直到指令所属于的模块不在系统目录中，在此期间不进入子函数也不更新CPU数据。因为程序是一条一条执行的，所以速度可能会慢一些。按Esc键，可以停止跟踪。

看这些中文介绍大家可能还不是很明白，用我们通俗的语句来说就是：
Alt+F9     运行至上层调用的下句
Shift+F9   忽略异常运行

其他的一些具体的大家还是要看看OD的中文帮助的

3、Dump
LordPE--选择所调试的进程--右键--完整脱壳  汉化的原因 有的是完全拓壳 有的是完整脱壳

4、修复
ImportREC

下面开始手脱UPX 看动画

PEID查壳 UPX -> www.upx.sourceforge.net *

OD载入

演示2种脱壳方法 一种单步 一种esp定律

单步就是一路F8 向上的跳转不让其实现 看操作

遇到向上的跳转 就在下一行F4打断

这个跳之后就是OEP了

下面我们演示 esp定律

此时ESP值突显（变红）

下断点

F9运行 

这地方熟悉把 删除硬件断点

运行lordPE 脱壳  不能运行 

修复

修复完成 正常运行

好 教程到此结束