special-UnShell Posted on 2020-01-16 Edited on 2020-04-08 In 脱壳分析 是否正在调试法有的时候一些壳会有防止调试的检测,这个时候我们就可以下:IsDebuggerPresent这个断点,然后返回到用户组,下面应该就有OEP的一些运算了,手下我们先下断点:然后我们执行到程序领空:我们看到了下面这几句话:这个时候我们执行完这两句,我们看edi的值:这个时候我们转到EDI的这个地址:这个时候F4运行到就好了!
