手脱常见壳之一UPX壳

13-05-13 来源：[db:作者]

收藏我要投稿

讲师:过去 QQ1632876255

很多破解的朋友问我UPX怎么脱壳这个壳是最常见的大家今天可以跟着来学习

今天我来教大家手脱UPX 0.89.6 - 1.02壳，用ESP定律法来脱壳。至于ESP定律是什么，大家请看下面

介绍...我就不多说了。

ESP定律法：

ESP定理脱壳（ESP在OD的寄存器中，我们只要在命令行下ESP的硬件访问断点，就会一下来到程序的OEP了！）
1.开始就点F8，注意观察OD右上角的寄存器中ESP有没突现（变成红色）。（这只是一般情况下，更确切的说我们选择的ESP值是关键句之后的第一个ESP值）

2.在命令行下：dd XXXXXXXX(指在当前代码中的ESP地址，或者是hr XXXXXXXX)，按回车！

3.选中下断的地址，断点--->硬件访--->WORD断点。

4.按一下F9运行程序，直接来到了跳转处，按下F8，到达程序OEP。

好了，我们开始脱壳。先用PEID查一下壳.我拿音速启动做示范。。UPX 0.89.6 - 1.02 / 1.05 -

1.24就是这个壳。。

OD载入（提示选择否）

单步像下走，注意寄存器ESP是否变成红色。OK。

点击红色地址--右键--数据窗口中跟随--点数据窗口的地址右键--选择断点，硬件访问，字。OK，

这个时候我们已经下断了。---F9运行--点调试，硬件断点，删除掉刚才的断点。--单步下下走，OK，到

达OEP。

开始脱壳，3种方式脱。OD插件。。还有LordPE我不演示了。这里给大家操作用OD插件脱。

Microsoft Visual Basic 5.0 / 6.0脱掉了，VB做的程序。。。。看看能不能运行。