ESP定律

Shark恒的教程，学到第四课，自验证涉及到ESP定律进行脱壳。然后我去看了一遍，发现还行。这里做个总结。

全职猎人看到了嵌合蚁篇

正文：

首先这里自己找个exe用吾爱工具的，ASP加壳工具进行加壳。用PEID查壳可以发现是ASP壳

拖入OD，并进行一次单步，发现有Pushad而且单步之后也只有ESP后面出现红色说明可以使用ESP定律进行脱壳

然后将鼠标移到ESP值那里右键单击数据窗口中跟随

选中跟随的值，多少无所谓只要是开头的就行

右键单击断点，硬件断点，三选一

断点之后按调试->硬件断点可以看见

按F9运行，然后F8单步(让他跳到call)

鼠标右键点击插件进行脱壳，保存

在次查壳，发现已经脱了。

ESP定律还有更简单的方法，就是你单步了之后把鼠标移到ESP值那里选择ESP那个插件，然后步骤同上。