摘要：脱壳的基本思路及小结 壳的分类：压缩壳、加密壳 脱壳的基本方法 1。单步 2。ESP定律 3。内存镜像 4。模拟跟踪（2类） 5。最后一次异常 1）SFX跟踪 2）tc eip<XXXX 6。特殊 常用语言的入口特征： VB： 004012D4 > 68 54474000 push QQ个性网.00 阅读全文

摘要：OD使用： Ctrl+F搜索字符串 Ctrl+G直接断API Ctrl+N输入表断API 利用插件断API F4运行到指定位置 F7步入 F8步过 F2断点 Alt+F4运行到用户代码 PROCMON使用： 可以监控文件、注册表、网络、进线程信息 排除进程：Exclude 查看指定进程：Includ 阅读全文

摘要：MessageBoxA/W 消息框 MessageBoxA PROTO, hWnd:DWORD, ;窗口句柄（可以为空） lpText:PTR BYTE, ;字符串，对话框内 lpCaption:PTR BYTE, ;字符串，对话框标题 uType:DWORD ;内容和行为 基于控制台的应用程序可以 阅读全文

摘要：程序特征：1. VC6编译无壳程序 OllyDbg查看入口点代码如下： VC6特点：入口点代码是固定的，入口调用的API也是相同的，其中有的push地址不同程序可能不同；区段有四个，也是固定的：.text、.rdata、.data、.rsrc VS2008和VS2013编译无壳程序： OllyDbg 阅读全文