今天是滚固练习ximo老师的第一课第二课

第一课
1、单步跟踪
这个感觉最简单也是最笨的方法（新手不熟悉特别容易跳过）
要点一直单步向下运行（碰到判断条件箭头向上红颜色需要执行的命令需要在命令下一行断点并运行到当前位置）
2、ESP定律法
这个我调试多次无法定位（经过今天水了一天论坛发现是我没在虚拟机环境运行，win7、10、11关键位置会偏差）
首先进入od界面单步1次关注【寄存器esp变红】需要右键数据窗口中跟随，然后命令行输入
dd xxxx【寄存器eps的数据】
hr xxxx【寄存器eps的数据】然后右键进行硬盘断点，点击运行，运行后先取消断点，在单步一次
3、2次内存镜像法
这个我调试多次无法定位（经过今天水了一天论坛发现是我没在虚拟机环境运行，win7、10、11关键位置会偏差）
首先进入od界面点m按钮进入内存界面选择【地址0057A000】【区段.rsrc】 右键下断、运行，然后再次点击m进入内存在【地址00401000】【区段UPXO】右键下断运行，在单步
4、一步直达法
直接在od初始界面进行右键、命令、查找命令、输入popad【程序出口】注意不要勾选整个块，然后单步。
第二课
1、单步跟踪
这个阶段有两个call入口需要用到单步左边这个命令，别的和第一颗一致多跑两边就可以跑下来。
2、ESP定律
首先进入od界面单步1次关注【寄存器esp变红】需要右键数据窗口中跟随，然后命令行输入dd xxxx【寄存器eps的数据】然后右键进行硬盘断点，点击运行，运行后先取消断点，在单步2次.
3、一步直达
这个阶段有多个popad窗口需要根据前两种方法详细记录出口多次分辨找出真正的出口。
4、2次内存镜像
首先进入od界面点m按钮进入内存界面选择最上边【区段.rsrc】 右键下断、运行，然后再次点击m进入内存在最上边【区段.text】右键下断运行，在多次单步。
5、模拟跟踪
在od界面进入内存，然后找到最上边【区段.aspack】在命令行输入tc eip<xxxxx【这一行的地址】，等了2分钟还没反应没等了，跳过。
6、SFX
在od界面点击选项  调试设置  sfx  选择第二种方式，然后重启od，程序会自动跟踪【我的3种方式都试过估计是我的程序比较笨一直找不到】。