第一步:查壳
第二步:用OD载入。
第三步:按F8单步向下走,注意,当右边的ESP(堆栈指针寄存器),和EIP(
指令指针寄存器)同时变红时,就停下。
第四步:记下ESP地址,并在左下角的Commanc中输入 dd ESP所对应的地址。
并回车。
第五步:在数值下面单击右键--断点----硬件访问---WORD。
第六步:按F9运行来到断点。
第七步:然后在按F8单步向下走,注意:一个大跳转就来到程序的OEP,也就是
程序的入口。
第八步:单击右键---脱壳在当前调试的进程---复制修正为处的地址(也就是
程序的入口地址)
第九步:修复。