[脱壳技术]寻找OEP之利用壳常用函数来定位OEP

常用函数

1、加载 LoadLibrart

2、GetProcAddress获取函数地址

3、ExitThread退出线程

5、在设置里面将忽略全部异常，需要在GetProcAddress设置一个断点，然后F9运行到函数首行，然后右键添加条件断点，输入条件[esp]，从不暂停程序，通过日志查看最后一次调用函数所在的区段，然后在函数上加一个条件断点[esp] == 最后一次调用函数的返回地址，并在条件断点里设置按条件暂停程序，然后一直按F9运行，等待汇编窗口出现DB 字符的界面就到了OEP的位置，再通过分析-在模块中删除分析，即可恢复原本的汇编指令了。

6、如果使用退出线程的函数，可以在调试选项内选择在中断在线程结束，给CODE下一个内存访问断点，就可以进入到OEP的位置了