ximo脱壳-手脱tElock 0.98b1壳、exe32pack壳、WinUpack加的壳

一、手脱tElock 0.98b1壳

用最后一次异常法

首先使用OD载入程序

 

 然后不停的用shift+F9，直到程序运行起来，记录下程序运行起来的前一次的次数，然后执行到那一次

 

上图为程序执行起来了，下图为最后一次异常定位的地址

 

 

 然后找到右下方的堆栈窗口，找到SE处理程序或者SE句柄

 

 记录下里面存储的地址，0042D7FD

然后再反汇编窗口中右键转到该地址

 

 在此处下断，运行到这里，然后单步跟踪

然后就可以跟踪到OEP了。