脱壳(一) —— ESP定律

1.PUSHAD （压栈） 代表程序的入口点,
2.POPAD （出栈） 代表程序的出口点，与PUSHAD想对应，一般找到这个OEP就在附近
3.OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP/FOEP），只要我们找到程序真正的OEP，就可以立刻脱壳。

一、ESP定理脱壳
（通过下ESP硬件访问断点找到OEP）
1.开始就点F8，注意观察OD右上角的寄存器中ESP有没突现变成红色。（这只是一般情况下，更确切的说我们选择的ESP值是关键句之后的第一个ESP值）
2.选中ESP，进行数据访问
3.选中下断的地址，断点—>硬件访问—>WORD断点。
4.按一下F9运行程序，直接来到了跳转处，按下F8，到达程序OEP。

二、如何识别OEP：
（当正在单步的时候，突然跳到了一个另一个页面（且光标在第一行），这里通常就是OPE）
只能记忆不同程序的OEP特征
copy:
**1.Delphi **
00509CB0 > $ 55 PUSH EBP
00509CB1 . 8BEC MOV EBP,ESP
00509CB3 . 83C4 EC ADD ESP,-14
00509CB6 . 53 PUSH EBX
00509CB7 . 56 PUSH ESI
00509CB8 . 57 PUSH EDI
00509CB9 . 33C0 XOR EAX,EAX
00509CBB . 8945 EC MOV DWORD PTR SS:[EBP-14],EAX
00509CBE . B8 20975000 MOV EAX,unpack.00509720
00509CC3 . E8 84CCEFFF CALL unpack.0040694C
2.Microsoft Visual C++ 6.0
00496EB8 >/$ 55 PUSH EBP ; (初始 cpu 选择)
00496EB9 |. 8BEC MOV EBP,ESP
00496EBB |. 6A FF PUSH -1
00496EBD |. 68 40375600 PUSH Screensh.00563740
00496EC2 |. 68 8CC74900 PUSH Screensh.0049C78C ; SE 处理程序安装
00496EC7 |. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
00496ECD |. 50 PUSH EAX
00496ECE |. 64:8925 00000>MOV DWORD PTR FS:[0],ESP
00496ED5 |. 83EC 58 SUB ESP,58
3.VB
00401166 – FF25 6C104000 JMP DWORD PTR DS:[<&>] ; MSVBVM60.ThunRTMain
0040116C > 68 147C4000 PUSH PACKME.00407C14
00401171 E8 F0FFFFFF CALL
00401176 0000 ADD BYTE PTR DS:[EAX],AL
00401178 0000 ADD BYTE PTR DS:[EAX],AL
0040117A 0000 ADD BYTE PTR DS:[EAX],AL
0040117C 3000 XOR BYTE PTR DS:[EAX],AL

来源：老橘人