实战ESP定律手工脱壳MPRESS壳

xygzxygz

首先说明，本人小白，注册吾爱半月，半月内认真学习了《零基础新手破解学习》视频教程和站内前辈多篇技术文章，产生了亲手尝试脱壳的冲动，于是就有了如下经历，文章中参考了站内多个前辈的经验，在此一并谢过。
错误在此难免，请各位前辈批评指正，谢谢！
下面正式开始：
一、用到的工具：
1、exeinfope0.0.9.5
2、吾爱破解专用版OllyDbg
3、LorePE
4、ImportREConstructor
5、手头常用的一款工具（改名为wapj.exe）
二、具体操作
第一步：查壳打开exeinfope0.0.9.5，打开或把wapj.exe拖到程序内，显示是MPRESS壳，如下图：

第二步：脱壳分析
启动吾爱破解专用版Ollydbg，把wapj.exe拖到程序内，提示程序被压缩、加密，问是否进行分析，这里选“否”：

进入程序后停到如下画面，这里我们采用“ESP定律”脱壳，按F8单步步过后，寄存器窗口只有EIP和ESP显示为红色，也就是说只有这两个寄存器的值被改变了，汇编代码窗口看到第一句执行的代码为pushad，意思是将所有32位寄存器压入堆栈，方便以后调用，因为堆栈平衡的缘故，随后在到达OEP之前肯定会使用popad将所有32位寄存器释放出栈，比较两次寄存器的内容，如果一致，那我们就找到了OEP，即程序开始执行的位置。因为popad出栈的时候肯定要访问到ESP现在所记录的这个位置，所以我们只要对这个位置的数据下一个硬件访问断点，就可以找到对应的popad的位置，从而找到OEP，于是在命令行输入：dd ESP记录的地址，回车：

回车后，数据区地址会停到ESP内记录的地址位置，这里是0012FFA4，选中这一行右键——断点——硬件写入——Dword，这样一来就在这个位置下了一个硬件断点：

检查断点是否下的成功，如下图，成功。

点击运行或按F9，程序运行后会停到我们下断点的地方，这里是一个大的跳转，上面是popad，下一步极有可能就是OEP：

按F8单步步过。把这里寄存器的值与我们第三张图寄存器的值比较，完全一致，因此现在就是OEP的位置：

到这一步后，我们需要删除前面下的硬件断点，防止下面的操作引起不要的麻烦。
第三步：脱壳
方法一：dump法反汇编窗口点右键，OllyDump——脱壳在当前调试的进程，在弹出的窗口中点“脱壳”，为脱壳后的程序起个文件名，保存，等待保存完成即可。这里请记住修正后的入口点地址21BF92，随后要用到。如下图：

方法二：LordPE法OD仍然停到dump法停到的位置（程序开始位置），打开LordPE程序，左上框找到wapj.exe程序，点右键——完整保存，起个文件名保存即可。

说明：1、dump法保存的脱壳后的程序在WINXP下可执行，但到了WIN10、WIN11下执行无反应，Hmily老师说“可能是aslr的问题，重定位没修复，这个可能性最大，其次可能iat没修复好”，后找到CFF_Explorer等工具，均提示无aslr，不存在重新定位问题。通过iat修复也没修复成功。
2、LordPE法保存的脱壳后的程序运行会出现如下图错误提示，通过IAT修复后所有平台均可执行，脱壳成功。

第四步：为ImportREConstructor修复做准备，查找IAT（导入地址表）的首地址和大小。
重新返回我们的OD，反汇编窗口点右键，查找——二进制字串，HEX十六进制框中输入特征码FF15进行查找。

选中找到的FF15这行，右键——数据窗口中跟随——内存地址，左下框就会跳到这个地址。

这时我们来到数据窗口，通过鼠标往上翻，一直翻到数值出现好多0的地方，记住有数值的第一行的地址，这里是0063F000，那么我们的RVA就是0063F000 - 基址，在这里，我们的基址为00400000，所以得出RVA为0063F000 --00400000=0023F000。在这里注意的是：如果我们数据区显示的是十六进制数值，需要在数据区内点右键——长型——地址，改为显示长型地址，否则看不到一堆0。如下图：

下面我们找大小。还是上图，通过鼠标往下翻，一直翻到API调用最后一个的位置，记住最后一行的地址，这里是006F7E8，那我们的大小就是调用API最后一个地址-开始的地址，即：006F7E8-0063F000=7E8。

有了OEP入口点地址0021BF92（dump法脱壳时有记录），IAT（导入地址表）的首地址（RVA地址）0023F000及大小7E8，我们就可以对脱壳后的程序进行修正了。
第五步：利用ImportREConstructor修正脱壳后的程序
OD仍然停到脱壳时停到的位置（程序开始位置），打开ImportREConstructor程序，最上方选择正在脱壳的程序名称，输入前面找到的OEP、RAV和大小，点获取导入表，如下图：

获取到导入表后，先点击“显示无效的”按钮，选中无效的DLL右键——删除指针，删除掉无用的DLL。最后按修正转储，选择LordPE法保存的脱壳后的程序名称，打开即可修正。

OK！程序完美脱壳，运行一切正常。

kongkong1225

教程写的超级详细，看的出来写的很用心，牛！赞！比我有耐心，一直想学脱壳，但是就是没有耐心学下去。继续加油。

byh3025

教程写的非常详细，点赞

xygzxygz

byh3025 发表于 2026-3-30 16:08
教程写的非常详细，点赞

谢谢支持

不苦小和尚

试试看看效果怎么样

763221847

测试一下!!

wdongdt

好详细，好教程

xygzxygz

kongkong1225 发表于 2026-3-31 08:50
教程写的超级详细，看的出来写的很用心，牛！赞！比我有耐心，一直想学脱壳，但是就是没有耐心学下去。继续 ...

谢谢鼓励

桃白白123

教程很用心，笔芯

shsww

向老师学习！