寻找真正的入口（OEP）－－广义ESP定律

核心提示： 0040D135A4movsbyteptres:[edi],byteptrds:[esi]//访问异常，不管他shift+F9继续0040D13633C9xorecx,ecx0040D13883FB00cmpebx,00040D13B^7EA4jleshortNotepad.0040D0E

0040D135　　A4　　　　　　　movsbyteptres:[edi],byteptrds:[esi]//访问异常，不管他shift+F9继续
0040D136　　33C9　　　　　　xorecx,ecx
0040D138　　83FB00　　　　　cmpebx,0
0040D13B　^7EA4　　　　　　jleshortNotepad.0040D0E1

第二次硬件中断。

004058B5　　　64　　　　　　db64　　　　　　　　　　　　　　　　//断在这里
004058B6　　　89　　　　　　db89
004058B7　　　1D　　　　　　db1D
004058B8　　　00　　　　　　db00
004058B9　　　00　　　　　　db00

这里也不是，F9继续！

004010CC　/.　55　　　　　　pushebp
004010CD　|.　8BEC　　　　　movebp,esp　//断在这里，哈哈，到了！（如果发现有花指令，用ctrl+A分析一下就能显示出来）
004010CF　|.　83EC44　　　　subesp,44
004010D2　|.　56　　　　　　pushesi

快吧！还不过瘾，在来一个例子。

脱壳进阶第二篇

如果按上面的方法断不下来，程序直接运行了！没什么，我们在用另一种方法！

载入后停在这里，用插件把OD隐藏！

0040DBD6N>^E925E4FFFF　　　jmpNote_tEl.0040C000　　　　　　　　　//停在这里
0040DBDB　　0000　　　　　　addbyteptrds:[eax],al
0040DBDD　　0038　　　　　　addbyteptrds:[eax],bh
0040DBDF　　A4　　　　　　　movsbyteptres:[edi],byteptrds:[esi]
0040DBE0　　54　　　　　　　pushesp

F9运行，然后用SHIFT+F9跳过异常来到这里：

0040D817　^73DC　　　　　　jnbshortNote_tEl.0040D7F5　　　//到这里
0040D819　　CD2064678F06　　vxdcall68F6764
0040D81F　　0000　　　　　　addbyteptrds:[eax],al
0040D821　　58　　　　　　　popeax

在这里对0012FFC0下硬件写入断点！（命令行里键入HW12FFC0）SHIFT+F9跳过异常，就来到OEP的第二行处：（用CTRL+A分析一下）