本文选用的壳是4.1.0的UPX壳
将加壳的exe文件拖入x64dbg
打开符号,进入第一个sample.exe
进入后在第一个位置下断点,按下F9运行
继续按下F9
单步运行到此处,发现只有RSP变红,根据ESP定律,进行下面的操作
所谓定律就像墨菲定律,想表达事物规律往往是这样的
ESP定律就是当只有ESP(RSP)变红,变红就是值发生了改变,这时候找到ESP所指向的内存位置,打一个硬件断点,按下F9运行到停下的位置,这个位置后面一般有一处跳转,完成跳转之后的地方就是OEP(程序真正的入口点)
我们按照这个定律操作一下
打断点cc
打好断点后运行,停在了此处
我们在紧跟的跳转处设断,运行
F7单步运行进行跳转
这个位置就是OEP
在此处用插件进行dump就可以了
