內(nèi)存鏡像法的步驟

（ 1 ）用 OD 打開軟件

（ 2 ）點擊選項——調(diào)試選項——異常，把里面的忽略全部√上。 CTRL+F2 重載下程序

（ 3 ）按 ALT+M, 打開內(nèi)存鏡象，找到程序的第一個 .rsrc. 按 F2 下斷點，然后按 SHIFT+F9 運 行到斷點，接著再按 ALT+M, 打開內(nèi)存鏡象，找到程序的第一個 .rsrc. 上面的代碼段 .text （或者 CODE ）（也就是 00401000 處），按 F2 下斷點。然后按 SHIFT+F9 （或者是在沒異常情況下按 F9 ）， 直接到達(dá)程序 OEP

實戰(zhàn)

1 查殼

用 PEID 查殼的結(jié)果如下圖，可以看出程序加了 ASPack2.12 的殼

2 尋找 OEP

(1)用 OD 載入該程序

（2）依次選擇OD 選項（ T ）下的調(diào)試設(shè)置（ D ）子選擇，彈出如下對話框，切到異常選項卡，將忽略下的子項全部勾上

（3）Ctrl+F2 重新載入要脫殼的程序， Alt+M 打開內(nèi)存鏡像，找到程序的第一個 .rsrc. 按 F2 下斷點，按下 F9 運行程序

（3）再按 ALT+M, 打開內(nèi)存鏡象，找到程序的第一個代碼段 .rsrc. 上面的 .text ，按 F2 下斷點， 按下 F9 運行程序

（3）直接到達(dá) OEP

注：有時候在給軟件脫殼，千心萬苦找到了OEP ，卻發(fā)現(xiàn)不是常見的“ pushebp ”，而是出 現(xiàn)如下圖這種情況，其實這是 OD 將這段代碼當(dāng)做數(shù)據(jù)了沒有進(jìn)行反匯編識別，解決方 法是，選中一行右鍵選擇“分析”菜單，選擇“分析”下的“分析代碼”， OEP 就會出 現(xiàn)在眼前了

3脫殼

可以使用OD 自帶插件，也可以用 LordPE ，方法和前面 " 單步跟蹤法 " 中使用方法一樣

4 修復(fù)

可以使用 ImportFix ，方法和前面 " 單步跟蹤法 " 中使用方法一樣

破解入門（六）-----實戰(zhàn)“內(nèi)存鏡像法”脫殼