1、通用对比法
条件：
1.未脱壳原程序
2.出问题的脱壳程序
BP CreateFileA，ALT+F9返回
JE、JNE、JBE...之类的关键跳转要对比 CALL跟进去。

2、跟踪退出函数。运行就会自动退出，就是要从退出函数入手了
条件：出问题的脱壳程序
软件退出一般都是调用ExitProcess、PostQuitMessage之类的函数
从输入表中我们可以看出软件是调用ExitProcess退出的
下段 CTRL+G 堆栈地址 找代码首 看到调用函数的4个地址 信息窗口跟随第1个CALL 找代码首 信息窗口跟随第1个CALL 找跳转 NOP

3、利用第三方软件辅助查找关键的地方。
用PEID的插件kanal分析dumped.EXE所采的密码学算法0040131C
CTRL+G搜索0040131C
上拉找到这个CALL的首部
方法同上

4、对付校检自身大小的软件的一般方法
一般的形式都是CMP EAX，2A00  用W32Dasm载入  只要搜索00002A00即可，前面的部分不管它，找到在这里：右击-“HEX”，更改代码002A00为脱壳后的大小007600即可，再搜索，发现该例只有一个对比的地方，保存后运行正常对于VB检测自身大小的软件我们还可以跟踪FileLen函数，因为VB一般都用FileLen检测自身的大小，用OD载入FILELEN-UNPACK.EXE，下断BP rtcFileLen，F9后断下，ALT+F9返回：这里EAX的值就是FILELEN取得的自身的大小，EAX=00007600

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！