脱壳基础知识入门之用内存断点找OEP

核心提示： 对code段下内存访问断点，希望他已经解压完毕，脱壳基础知识入门之用内存断点找OEP(5)，方法是按ALT＋M键打开内存窗口，在.code段按F2设断：SHIFT+F9执行：0040D19DA4movsbyteptres:[edi],byteptrds:[esi]//还没解完呢0040D1

对code段下内存访问断点，希望他已经解压完毕。方法是按ALT＋M键打开内存窗口，在.code段按F2设断：

SHIFT+F9执行：

0040D19D　　A4　　　　　　　　　　movsbyteptres:[edi],byteptrds:[esi]　　　　//还没解完呢
0040D19E　　B302　　　　　　　　movbl,2

对data段下内存“写入”断点，试试看他是不是要写data段。

00372712　　F3:A4　　　　　　　　repmovsbyteptres:[edi],byteptrds:[esi]　　　//断到这里
00372714　　5E　　　　　　　　　　popesi

下面再对code段下内存访问断点。F9

00372855　　8907　　　　　　　　　movdwordptrds:[edi],eax　　;SHELL32.DragFinish　//这里是对IAT加密的地方了！！！

00372857　　5A　　　　　　　　　　popedx
00372858　　0FB642FF　　　　　　movzxeax,byteptrds:[edx-1]
0037285C　　03D0　　　　　　　　　addedx,eax
0037285E　　42　　　　　　　　　　incedx
0037285F　　83C704　　　　　　　addedi,4
00372862　　59　　　　　　　　　　popecx
00372863　^E2A9　　　　　　　　loopdshort0037280E
00372865　^E963FFFFFF　　　　　jmp003727CD
0037286A　　8BB593060000　　　　movesi,dwordptrss:[ebp+693]　　　　　　　　　　　//到这里下断F2

现在如果再对data下访问断点已经是没用了。这时应该格外的小心。

我们现在就想既然这一段是对code解码的，那么我们就绕过他吧！

到0037286A下断F2，然后清除内存断点！！！！