普通的ESP定律法 是使用的堆栈平衡 即为有出栈就有入栈 而这种特殊的ESP定律法就没有遵守堆栈平衡这个规则 也称为FSG2.0 这种壳的专用的ESP 定律法
先使用单步 走到popad 下面 
看他右下方的数值第四行(这是个固定点位)
选定他之后右键选择反汇编窗口跟随
会得到这样的空代码
这时在这个0040A86D上下硬件断点 然后shift+F9 进入到OEP
即可进行脱壳了 这个操作非常简便 比起使用传统的单步法 和 ESP定律法会快很多
不过他的局限性也很明显仅有FSG 2.0 的壳才能这样使用
未经允许不得转载:天府数据港官方信息博客 » 学习—脱壳(特殊的ESP定律法 针对FSG)
客官点个赞呗! (0)
天府数据港官方信息博客