一：我們先說一下,，一般脫殼所需要的工具

PEID -（查殼工具,，根據(jù)每種殼的特征碼而偵測出殼的種類，目前算是比較流行的查殼工具）
Ollydbg - （一個新的動態(tài)追蹤工具,，將IDA與SoftICE結(jié)合起來的思想,，Ring 3級調(diào)試器，非常容易上手,，己代替SoftICE成為當(dāng)今最為流行的調(diào)試解密工具了,。強烈推薦?。?br>LordPE - （一款功能強大的pe文件分析、修改,、脫殼軟件,。配合手動脫殼工具(Ollydbg、ImportREC 等),是學(xué)習(xí)調(diào)試手動脫殼必備的工具!）
ImportREC - （手工重建Import表,，脫殼必備?。?br>
二：脫殼必須掌握的一些基本匯編語言

JE/JZ 等于轉(zhuǎn)移.(機器碼74 或0F84)
JNE/JNZ 不等于時轉(zhuǎn)移.(機器碼75或0F85)
JMP 無條件轉(zhuǎn)移指令(機器碼EB)

以下四條,測試無符號整數(shù)運算的結(jié)果(標志C和Z).
JA/JNBE 不小于或不等于時轉(zhuǎn)移.(意思就是大于則就跳）
JAE/JNB 大于或等于轉(zhuǎn)移.
JB/JNAE 小于轉(zhuǎn)移.
JBE/JNA 小于或等于轉(zhuǎn)移.

以下四條,測試帶符號整數(shù)運算的結(jié)果(標志S,O和Z).
JG/JNLE 大于轉(zhuǎn)移.
JGE/JNL 大于或等于轉(zhuǎn)移.
JL/JNGE 小于轉(zhuǎn)移.
JLE/JNG 小于或等于轉(zhuǎn)移.

CALL 過程調(diào)用（調(diào)用子程序/函數(shù)）
RETN/RETF 過程返回（被調(diào)用子程序/函數(shù)的返回）
NOP 空語句
CMP 比較.(兩操作數(shù)作減法,僅修改標志位,不回送結(jié)果).
MOV A,B （把B的值送給A）
PUSH 把字壓入堆棧（壓棧）
POP 把字彈出堆棧（出棧）

ADD 加法.
SUB 減法
MUL 無符號乘法
DIV 無符號除法.

AND 與運算.（位運算兩個比較數(shù)中的二進制數(shù)值各位有0則0）
OR 或運算.（位運算兩個比較數(shù)中的二進制數(shù)值各位有1則1）
XOR 異或運算.（位運算兩個比較數(shù)中的二進制數(shù)值各位相同則零）（寄存器與自己作異或運算等于清零動作）
NOT 取反.
TEST 測試.(兩操作數(shù)作與運算,僅修改標志位,不回送結(jié)果).

還有更多的匯編語句，我會打包給大家的....

三：我們開始動手實踐一下,，熟悉一下工具的使用

我們用記事本來做試驗吧,，先加個殼。好了,。加完后,，我們就用PEID來查一下是什么殼....
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
UPX是一款壓縮殼...我們再把他載入OD來調(diào)試。載入后,，會提示,，點否！
01014770 > 60 PUSHAD
01014771 BE 00000101 MOV ESI,NOTEPAD.01010000
01014776 8DBE 0010FFFF LEA EDI,DWORD PTR DS:[ESI+FFFF1000]
0101477C 57 PUSH EDI
0101477D 83CD FF OR EBP,FFFFFFFF
01014780 EB 10 JMP SHORT NOTEPAD.01014792
這里,，就是UPX殼的入口,，這個殼有很多種脫殼~我們今天就用單步直下脫殼法。畢竟我們只是了解一下工具的用法,。,。。
單步F8,，或者用工具欄的那個箭頭向下那個按鈕,！JMP（無條件跳轉(zhuǎn)），要是跳轉(zhuǎn)實現(xiàn)的話,，就會出現(xiàn)條紅線,。這里。他是向下跳,，我們就讓他跳吧,，如果像這種情況。向上跳的話,，我們就用到F4（在跳轉(zhuǎn)的下一行,，按下F4，或者,，右鍵-斷點-運行到選定位置）如果,，跳轉(zhuǎn)沒實現(xiàn)，他就出現(xiàn)一條灰色的線,，實現(xiàn)就紅..只要他往上跳,，我們就下斷F4,。不讓他往會跳。一直往下單步,，在這里,，下完斷后，還有個JMP向上跳,，我們也一樣向下一行下斷后,，但是。他這里的下一行是一個NOP（無動作）,。所以不能在這里F4,。我們在NOP的下一行下斷點，不好意思,。,。。手快了,。哈~~繼續(xù),！這里。在CALL這行下斷點,。OD會掛掉。只能在CALL的下一行下斷點,，我們試驗一下~看吧~~運行了,，OD掛了~點什么都沒反映了。,。,。我們返回程序的開始！重新開始單步....注意了,，就是這里...在這里下斷噢~好,。到了這個JMP。但他卻沒出現(xiàn)紅線,，是什么原因呢,。因為這里他實現(xiàn)了遠跳轉(zhuǎn)，所以沒出現(xiàn)紅線,。我們F8,。。,。好,，一般遠跳轉(zhuǎn)后，就是OEP,，這里也就是傳說中的OEP,。
不好意思,，按錯了...繼續(xù)
接著。就用LordPE這個,，把程序DUMP下來~~看操作~完整轉(zhuǎn)存?。〉@樣子程序還是不能運行,。得用到ImportREC這個來修復(fù)一下~看操作~這里,因為路徑太張了,。看不到記事本的路徑,，你們只知道,，這里選擇那個記事本的路徑就對了....
他的OEP地址0100739D-01000000=739D (01000000是他程序的基址)
點自動搜索IAT，發(fā)現(xiàn)某些數(shù)據(jù),。,。點確定，獲取輸入表,。修復(fù)捉取文件,。OK。,。我們?nèi)タ纯茨懿荒苓\行~可以運行~查一下殼~OK
Microsoft Visual C++ 7.0 Method2

就這樣了....有什么問題,，在論壇留言，或者加我QQ：85400516,，問我或者~~~hmily,大家有什么事情都去問他吧,。。哈哈,！拜拜,！

外：OD調(diào)試用到的快捷鍵
F2：設(shè)置斷點，只要在光標定位的位置（上圖中灰色條）按F2鍵即可,，再按一次F2鍵則會刪除斷點,。
F8：單步步過。每按一次這個鍵執(zhí)行一條反匯編窗口中的一條指令,，遇到 CALL 等子程序不進入其代碼,。
F7：單步步入。功能同單步步過(F8)類似,，區(qū)別是遇到 CALL 等子程序時會進入其中,，進入后首先會停留在子程序的第一條指令上。
F4：運行到選定位置,。作用就是直接運行到光標所在位置處暫停,。
F9：運行。按下這個鍵如果沒有設(shè)置相應(yīng)斷點的話,，被調(diào)試的程序?qū)⒅苯娱_始運行,。
CTR+F9：執(zhí)行到返回,。此命令在執(zhí)行到一個 ret (返回指令)指令時暫停，常用于從系統(tǒng)領(lǐng)空返回到我們調(diào)試的程序領(lǐng)空,。
ALT+F9：執(zhí)行到用戶代碼,。可用于從系統(tǒng)領(lǐng)空快速返回到我們調(diào)試的程序領(lǐng)空,。
上面提到的幾個快捷鍵對于一般的調(diào)試基本上已夠用了,。要開始調(diào)試只需設(shè)置好斷點，找到你感興趣的代碼段再按 F8 或 F7 鍵來一條條分析指令功能就可以了,。

待續(xù)未完,！敬請期待！