新手学脱壳1（upx脱壳）

方法1：单步跟踪
打开PEID查壳

打开OD导入（暂不分析）


单步跳转（箭头向下跳下正常继续跳转运行）


箭头向上跳转（需在选中下一行点击断点运行到当前位置）

碰到灰色箭头继续单步运行。

碰到这种跳转下一行JNZ也是条件判断跳转语句，需在下2行位置下断点运行到当前位置。

碰到这种下一行是call指令（之程序入口）也是在第二行下断点跳转当前位置。

到这里popad是关键位置需记录，到此程序算是脱壳运行出口，继续单步运行。

第三步跳转此界面已跳过程序壳，下一步右键od运行脱壳程序

下列方法1、2均可，设置保存位置。
然后运行PEID查壳显示已脱壳完成。


方法2：ESP定律法
dd XXXXX
hr XXXXX
方法3：2次内存镜像法
方法2、3我这有BUG暂时无法脱壳调试，等我学会回来补。
方法4：一步直达法
打开OD导入鼠标右键  查找   命令  输入popad（出站口）

因出站口教多不要勾选整个块，直接一步跳转到位到此在单步3步，脱壳完成

方法2和方法3已解决，视频教程是在虚拟机winxp系统和win7系统演示模拟的，我是在真机运行，据了解真机win10、11运行od部分数据位置会有偏差导致脱壳失败