脱壳_两次断点法找oep

两次断点法

调试之前od要设置 选项 调试设置(alt+o)异常把这些东西全都打上√

全都忽略 忽略所有异常

点 alt+m 或点M找到我们的exe要找到与程序名字相同的段 程序领空

属于程序本身的段 在程序的代码地址下断

在.rsrc 数据输入表 下F2断点 然后 再按shift+f9  (Shift+F9 忽略异常运行)

第二次断点 还选M (快捷键alt+m)在原来位置上面  就是PE文件头下sfx代码上的那行

F2下断 然后shift+f9  断下来之后

我们要用到第二课的知识F8单步  然后呢  底下有个popad  就快到oep了

有大跳转 大跳转就是大于十进制的  50   小跳转就是两地址相差  不到 十进制50