两种方法快速脱北斗2.x壳
                             
前言:很简单,希望对新手有帮助...........老鸟就不要看了....^_^

不好意思~~~昨天在发的帖子没讲清,上次的单步跟走能够提高新手[我也是]的查找OEP的能力,今天来补一补~~~讲讲脱北斗壳的另外两种方法~~~~

目标程序:WIN98记事本~~

一种方法是OEP定理~~即堆栈平衡原理

用OD载入程序后,Od提示程序加壳~~

F8到了0040CE94

在命令拦插件中输入:dd  0012FFC0,回车,在数据框里点00000246,右键-断点-硬件访问-WORD断点,让该程序运行,断在0040D11C   - E9 AB3FFFFF       jmp NOTEPAD.004010CC处,再按F8,即跳到程序的入口点了~~~~

004010CC       55              db 55     DUMP下来,保存就好了{右键,脱壳当前进程,保存,OK!!}
004010CD       8B              db 8B
004010CE       EC              db EC
004010CF       83              db 83

第二种方法是 CTRL+S 搜索命令序的方法~~

用OD载入程序后,Od提示程序加壳~~

CTRL+S         在里面输入:    popad    然后
                       popfd

0040D115     61                popad        停在了来到这里~~~~~
0040D116     9D                popfd
0040D117     C2 0C00           retn 0C
0040D11A     61                popad        再这按F4~~~~~~~~
0040D11B     9D                popfd         按F8
0040D11C   - E9 AB3FFFFF       jmp NOTEPAD.004010CC 到这~~~ 跳到OEP

到这_______
004010CC       55              db 55     DUMP下来,保存就好了{右键,脱壳当前进程,保存,OK!!}
004010CD       8B              db 8B
004010CE       EC              db EC
004010CF       83              db 83

   后话: 今天回贴时,看到了快脱NSPAK2.X的方法,觉得不适合我们菜鸟,难看懂,所以写了这一些~~~~希望高手们指点指点~~~~~~

   
第三种方法是看了FLY大哥对"应用病毒程序免疫器"脱壳时所想到的 , 真的要谢谢这些为我们菜鸟写教程的高手们~~~~~~~ 敬礼~~~~~~~

[课程]Linux pwn 探索篇！