关于 ESP 脱壳找 EOP
ESP 定律：就是加载程序后 F8单步运行 第一个变化的 ESP 值，右击寄存器上 ESP 在转存中跟随，在内存地址上 选中前四个，右击，断点，硬件访问，word F9，中断，....返回。
(D 12ffc0 选四个下硬件写入 dword) 我的其它小记
1. Aspcak 方法：
ESP+6175(Sb) POPAD JMP
2. UPX 方法：
S 0000 The First JMP
变种
ESP+S (60E9)
0040EA0E 60 PUSHAD
0040EA0F - E9 B826FFFF JMP chap702.004010CC
3. PECompact 1.68 - 1.84
ESP
Or 注意 第一个 PUSH XXXX XXXX+基址(400000)=EOP
4. EZIP 1.0 方法：
ESP
5. JDPack 1.x / JDProtect 0.9
ESP+S(6150)
0040E3F8 894424 1C MOV DWORD PTR SS:[ESP+1C],EAX
0040E3FC 61 POPAD
0040E3FD 50 PUSH EAX
0040E3FE C3 RETN
0040E3FF 23E8 AND EBP,EAX
6. PE Pack 1.0
ESP+S (61ff)
0040D26F 61 POPAD
0040D270 FFE0 JMP EAX
7. WWPack32 1.x
ESP
8. PEDiminisher 0.1
ESP+S(FFE0) or S(JMP EAX)
0041708D 5D POP EBP
0041708E 5F POP EDI
0041708F 5E POP ESI
00417090 5A POP EDX
00417091 59 POP ECX
00417092 5B POP EBX
00417093 - FFE0 JMP EAX
9. DxPACK V0.86
ESP+S(JMP EAX or 61ffe0)
0040D163 61 POPAD
0040D164 - FFE0 JMP EAX
10. PKLITE32 1.1
F8 5 次来到 EOP
11. 32Lite 0.03a
ESP 往下找到
PUSH EAX
50c3 or PUSH EAX
003780F4 50 PUSH EAX
003780F5 C3 RETN
来到
0041C53C FF96 84B50100 CALL DWORD PTR DS:[ESI+1B584]
0041C542 61 POPAD
0041C543 - E9 0848FFFF JMP QEDITOR.00410D50
注意：先用 LoadPE 转存 Olldbg 加载的那个加壳文件，退出，运行加壳后的文件，RecImport 修正 EOP 修复抓取文件到 DUMP 的那个文件。
12. VGCrypt PE Encryptor V0.75
ESP 安 F9(断点开始)，地址-1＝EOP
13. PC Shrinker 0.71
ESP
00142BA8 BA CC104000 MOV EDX,4010CC
00142BAD FFE2 JMP EDX
14. Petite2.2
1. D 12ffa0
3 下 F9
来到 EOP=地址-1
2. ESP 两下 同上
15. EXE Stealth2.72
ESP+S()
0040D49F 8B9D B62F4000 MOV EBX,DWORD PTR SS:[EBP+402FB6]
0040D4A5 039D BA2F4000 ADD EBX,DWORD PTR SS:[EBP+402FBA]
将堆栈中值10cc+400000=4010cc 得出记事本的Oep. 加壳软件的oep.
0040D4AB C1CB 07 ROR EBX,7
注明：
例子： ESP+S (60E9)
后面 S 是搜索的意思，里面为搜索内容，可能是 Ctrl+F 的也可能是 Ctrl+B
反正大家是聪明人 一看就知道了～•
普通壳的脱壳方法和脱壳技巧，叫新手少走弯路！
普通壳的脱壳方法和脱壳技巧，叫新手少走弯路
这篇文章，是我在之前在自学脱壳的时候，在笔记本是所做的脱壳总结；里面包括了各种壳的脱壳方法，最重要的是注释了什么壳用什么方法脱是最省时省力的
方法。毕竟是一篇笔记，所以在顺序是或许会有些杂乱无章的感觉。还是请刚接触脱壳的朋友们将就一下，一个一个字的把它从笔记本是移到电脑上也不容易。
首先，先对下文中将要讲到的几个地方做一下说明，避免一些刚接触脱壳的朋友因为不清楚它们的意思，而把时间花费在baidu和google上。
常见脱壳知识：
1.PUSHAD （压栈） 代表程序的入口点
2.POPAD （出栈） 代表程序的出口点，与PUSHAD相对应，一般找到这个,说明OEP可能就在附近
3.OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP），
只要我们找到程序真正的OEP，就可以立刻脱壳。
脱壳的几种方法：
方法一：单步跟踪
方法二：ESP定律脱壳
方法三：内存跟踪
方法四：跟踪出口法
方法五：最后一次异常法
方法六：懒人脱壳法
上面这些方法具体的操作我会在最后，在文章的最下面给出。想要具体了解的可以去看下，不过最后再看这个也是可以的。可以节省大家的时间。 第二部分，需要注意的几处重点
ESP脱壳时，对于有关键提示的（如：Pushw 或 Pushad ），一般选择关键提示下面那行地址中的ESP。
懒方法脱壳，这种方法对压缩壳有效；对加密壳作用不大。
“懒方法脱壳“在已开始的设置时需要注意（简化的设置步骤，详细的在文章最下面）：
1、首先，要忽略所有异常 //忽略所有异常——这个是必须的
2、设置：”调试选项“→”SFX“→”字节模式跟踪实际入口（速度非常慢）“
3、载入相关程序。 //当载入后的程序停止后，所停址的那个地址就是我们Dunp加壳文件的那个地址
Hr命令：”hr“下的是字节断点。用ESP脱壳时，多数都是用的这个。
第三部分，笔记正文----这篇文章的骨干部分！
第一节 手脱EZIP 1.0 的壳
因为这个壳会修改PE头 用OD脱壳后即使修复了也不能运行。所以最简单的方法是采用 LordPE 这个工具脱壳。具体步骤：
首先，运行目标软件程序（不是用OD，而是想像平时使用一样，双击打开）→从 LordPE 列表中选中目标程序的进程→点”鼠标右键“ 选择”完整脱壳“。最后用 ImportREC 进行修复。
第二节 手脱wwpack 的壳
这个壳跟上面说的 EZIP 1.0 的壳一样，OD脱壳 ImportREC 进行修复 程序还是无法运行。所以还是要用 LordPE 进行脱壳工作。
具体步骤 ： 从 LordPE 列表中选中目标程序的进程→点”鼠标右键“ 选择”完整脱壳“。最后用 ImportREC 进行修复 。发现还是不能运行！
最关键的地方到了：用 LordPE 这个软件自带的重建 PE 修复功能；重建PE头，重建后，即可运行！
第三节 手脱 UPX 壳的捷径
用我们已开始提到的”关键提示“。
具体操作：OD载入程序后，直接Ctrl+F，输入 POPAD ;点确定后 来到这个命令所在的位置。按F2，在这个地方下断；再按F9（运行）；停止后，按F2取消刚才下的断点。再F8单步！
第四节 手脱 ASPCK 的壳
脱这个壳用ESP定律，还是相对快捷的。可以用载入程序后，第二行（是一个CALL）那里面的ESP。 //多数程序这个壳的第二行都是一个CALL
在左OD左下角的命令行中，输入命令：hr ESP地址（如 hr 0012FFA4）；F9 运行。然后从OD”调试菜单“中的”硬件断点“这一项将刚才下的断点删除，这点很重要！最后F8单步！
第五节 用 内存镜像法 手脱FSG 1.33 和 PCshrink 的壳
1、忽略所有异常
2、Alt+M 打开内存镜像，找到第一个 ”.rsrc“
3、F2（下断），F9（运行）
4、Alt+M 打开内存镜像，找到”Code“段；
5、F2（下断），Shift+F9【这点一定要记住，切记是 Shift+F9】运行；
6、先按F8，再按下F4，直接到达OEP
第六节 手脱 JDpack 壳 和 PEpack 1.0 的壳 最简单的方法
脱这个壳推荐使用内存镜像法；
我在用ESP脱壳的时候发现：ESP定律的速度和单步跟踪的速度差不多，所以在这里就不推荐了。相反，脱 PEpack 1.0 壳 的时候，用ESP定律是最快捷的方法。
第七节 手脱 PEDiminisher ；Dxpack 0.86 ；32lite 0.03a ；PEtite 2.2 这几种壳的简单方法
脱PEDiminisher ；Dxpack 0.86 ；这两种壳的时候，直接用之前讲到的ESP定律，即可完美脱壳。命令：【hr ESP地址】
用ESP脱 32lite 0.03a 后 要注意的是，需要用 ImportREC 这个工具进行修复。如：00410D50 在输入框中输入 10D50 就可以了 【004舍去】
在用ESP定律脱 PEtite 2.2 的时候，推荐选择 Pushad 下面那行地址中的 ESP
第八节 手脱 Exestealth 2.72 的壳
看到这或许大家会沉迷与ESP定律当中，在这里提醒大家：Exestealth 2.72 的壳 用我们一开始提到的”懒方法脱壳“是最简单的；具体步骤，可以参考文章第二部分。
第九节 手脱nspack（北斗）1.3 的壳
1、ESP定律，命令：hr ESP地址 【脱壳后程序不能正常运行】
2、用 ImportREC 这个工具进行修复，修复后程序正常运行。
第十节 另类方法脱 ASPack 2.12R 壳的技巧
Ctrl+S 搜索：retn 0C【retn和零C 中间有个空格】 找到后向下看，如下：
retn 0C
push 0 //在 retn 0C 的下面
retn //在这个地方按 F2（下断） ；F9（运行）

停止后[FS:PAGE]按 一下 F8（单步）；再按一下 F7（跟进） 观看这看不懂？没关系，要是我，我也看不懂，所以我早有准备；详细步骤，如下（这是某程序的一部分）：

程序中断后来到这里：

0046B3B8 C2 oc00 retn 0C //开始F8（单步）
0046B3B9 68 64584500 push registra.00455864 //这里调用来自 00455864 （OEP）
0046B3C0 C3 retn //F7(跟进) 步入到OEP
注意：这种壳ESP不能直接脱。
脱壳的几种方法 详细操作步骤
常见脱壳知识：
1.PUSHAD （压栈） 代表程序的入口点
2.POPAD （出栈） 代表程序的出口点，与PUSHAD相对应，一般找到这个,说明OEP可能就在附近
3.OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP），
只要我们找到程序真正的OEP，就可以立刻脱壳。
方法一：单步跟踪
1.用OD载入，不分析代码！
2.单步向下跟踪F8，是向下跳的让它实现
3.遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——运行到所选）
4.绿色线条表示跳转没实现，不用理会，红色线条表示跳转已经实现！
5.如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，这样很快就能到程序的OEP
6.在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入
7.一般有很大的跳转，比如 jmp XXXXXX 或者 je XXXXXX 或者有RETE的一般很快就会到程序的OEP。
我们看看能不能运行，可以运行，是Microsoft Visual Basic 5.0 / 6.0的程序
下面我们看第二种方法
方法二：ESP定律脱壳（ESP在OD的寄存器中，我们只要在命令行下ESP的硬件访问断点，就会一下来到程序的OEP了）
1.用Od载入后就按F8，注意观察OD右上角的寄存器中ESP有没出现
2.在命令行下：dd 0012FFA4(0012FFA4指在当前代码中的ESP地址)，按回车！
3.选种下断的地址，下硬件访问WORD断点。
4.按一下F9运行程序，直接来到了跳转处，按下F8，到达程序OEP，脱壳　
可以运行，说明我们脱壳成功，下面看第三种方法
方法三：内存跟踪：
1：用OD打开软件！
2：点击选项——调试选项——异常，把里面的忽略全部勾上，CTRL+F2重新加载程序
3：按ALT+M,打开内存镜象，找到第一个.rsrc.按F2下断点，然后按SHIFT+F9运行到断点，接着再按ALT+M, 打开内存镜象，找到.RSRC上面的CODE，按F2下断点，然后按SHIFT+F9，直接到
达程序OEP，脱壳
不知道为什么我这台电脑不是直接到达oep，可能是系统问题，我这里还要向下单步几次
同样可以运行，看下面一种方法
方法四：跟踪出口法
一步到达OEP（前辈们总结的经验）
1.开始按Ctrl+F,输入：popad（只适合少数壳，包括ASPACK壳），然后按下F2，F9运行到此处
2.来到大跳转处，点下F8，脱壳
可以运行，看下一种方法
方法五：最后一次异常法 （这种脱壳方法在我这台电脑上无法演示，可能是因为系统问题吧，不过大家跟着下面的步骤做就可以找到OEP了）
1：用OD打开软件
2：点击选项——调试选项——异常，把里面的勾全部去掉，CTRL+F2重新加载程序
3：在这里我们按SHIFT+F9，直到程序运行，记下从开始按SHIFT+F9到程序运行的次数
4：CTRL+F2重新加载程序，按SHIFT+F9（次数为程序运行的次数-1次）
5：在OD的右下角我们看见有一个SE 句柄，这时我们按CTRL+G，输入SE 句柄前的地址！
6：按F2下断点，然后按SHIFT+F9来到断点处！
7：去掉断点，按F8慢慢向下走
8：到达程序的OEP，脱壳
最后一种方法
方法六：懒人脱壳法 （由于这种脱壳方法速度比较慢，这里我就不再演示了，大家跟着下面的步骤就可以找到oep了）
1、用od载入软件
2、点击选项——调试选项——SFX
3、选中“字节方式跟踪真正入口处（速度非常慢）”
4、重新载入软件
5、od开始自动跟踪入口点
6、直接到达oep，脱壳（适用于少数壳）
好了，到这里，这篇文章就算告一段落了，很多地方还有待修正。
希望能给刚接触脱壳的朋友一些帮助，同时希望前辈们批评指正。