单步跟踪法

1.OD载入,不分析代码。 2.近CALL—F7,远CALL—F8,实现向下的跳转。 3.有回跳处,下一句代码处—F4 (右键—代码断点运行到所选) 4.大的跳转(大跨段,JMP或JE或RETN),很快就会到OEP

最后一次异常法

1.OD打开—点选项—调试选项—去掉所有异常—CTRL+F2重载. 2.SHIFT+F9.只到程序运行,记下次数M 3.CTRL+F2重载—按SHIFT+F9(次数为M-1次) 4.按CTRL+G—输入OE右下角的SE句柄前的地址. 5.F2下断—SHIFT+F9到断点处. 6.去断按F8,到OEP.

模拟跟踪法

无暗桩情况下使用 1.F9试运行,跑起来就无SEH暗桩之类的,否则就有. 2.ALT+N打开内存镜像,找到包含“=sfx,imports reloco tions”字符 3.地址=*** 命令行输入:tceip<***,回车

ESP定律法

1.F8,观察OD右上角寄存器中ESP有没有实现(红色) 2.命令行下 DD ******(当前代码ESP值),回车 3.DD就选中下端地址,断点—硬件访问—DWORD断点,F9运行,到跳转处按F8 到OEP

内存镜像法

1.OD载入软件 2.点选项—调试选项—忽略全部—CTRL+F2重载 3.ALT+N打开内存镜像,找程序第一个.rsrc—F2下断—SHIFT+F9运行到断点,再打开找到程序第一个.rsrc上面的.code处(就是00401000处),F2下断—SHIFT+F9或无异常按F9,到OEP

一步到达OEP法

只适合少数壳,如UPX,ASPACK 1.CTRL+F—输入:POPAD.回车查找—F2下断—F9运行到此处. 2.来到大跳转处,点F8到OEP.

SFX法

1.设置OD,忽略所有异常. 2.切换到SFX选项卡,选择“字节模式跟踪实际入口”,确定. 3.重载—“否”压缩代码,