学习ximo视频脱NSP壳的一点感悟

玛朵布莎辞

首先，我尝试了一下ESP定律、内存镜像、还有单步跟踪，以及神奇的at GetVersion这个命令，就我个人而言，ESP定律最好用，为什么呢，因为在ESP设置数据窗口跟随，然后在数值处下断之后，
运行程序直接就可以来到popad出栈口，紧接着一个跳转就是OO412DC处，也就是真正的OEP处，但是如果使用内存镜像

程序就会跑到003F043A    881C01          mov byte ptr ds:[ecx+eax],bl，这样之后再单步跟进去就会比较繁琐，为什么说繁琐，请继续往下看图， ，在
此处有一个CALL如果继续F7单步就会跟到这个CALL里面，至于为什么因为我是刚学，并不懂原理，跟进去之后地址就变化了
，地址会变成7C809B74 >  8BFF            mov edi,edi                              ; QQ个性网.00432CAC ，
这样之后你需要很多耐心继续往下F7单步，直到重新回到OO3开头的地址，根据我的测试需要有两次CALL跟进跟出然后才能到达程序真正的OEP处
。 ，
这里也有点让新手搞不懂的就是有个loop，根据ximo教程里说的“此处是一个循环”。

最后综上所述，我作为一个新手推荐大家使用ESP定律法，内存镜像可能不太合我这种新手，希望大家给点意见，谢谢。

Sound

内存镜像 属于一种比较方便的寻找OEP的方法 。
在脱加密壳当中 会被经常用到，

心断空

脱到加密壳，你就会知道esp的局限性了

杨问天

学些了，谢谢你的分享

tgdq5

学习中有同感

herculesrance

知道了原理，简单。不知道原理，难！

鬼谷墨霸

我也是刚开始学，看过了老师的教程感觉明白了点什么，再看到你的心得，忽然觉得确实明白了不少，谢谢

dream.

脱强壳。你会发现下函数断点很好用。

天晴就是雨

学习了楼主的脱壳过程

A-zhu

正在学习脱壳中