(视频截图)

今天给大家讲一下PEDiminisher的4种脱法吧，由于本人已经测试脱壳之后都可以运行~我就不演示脱壳啦，节约时间。

查壳，PEDiminisher0.1->Teraphy

用OD载入，我已经载入了。方法比较多我就不写代码了。大家仔细看清楚点。。。

方法一：单步

大家再看看另外的个单步法。。。注意看了和上一种有什么区别了

呵呵~其实没什么区别~因为我们在脱壳的时候都有这个经验，离入口的第一个CALL一般都要F7过，我第一次是用F8过的~~程序没跑飞，算是侥幸吧~~~刚才用F7过了一下~结果是一样的~呵呵~~

方法二：内存镜像法

内存镜像，项目17
 地址=00415000
 大小=00002000(8192.)
 Owner=Ped     00400000
 区段=.rsrc
 包含=resources
 类型=Imag01001002
 访问=R
 初始访问=RWE

就是要区段=.rsrc

。。。。。。。。。。。。。。。

内存镜像，项目14
 地址=00401000
 大小=00004000(16384.)
 Owner=Ped     00400000
 区段=.text
 包含=code
 类型=Imag01001002
 访问=R
 初始访问=RWE

要的就是区段=.text

。。。。。。。。。。。。。。。

OK就这么简单

方法三：ESP

关于ESP定律建议大家掌握好。很有用的！

记得把断点清除掉！！

方法四：模拟跟踪

内存镜像，项目18
 地址=00417000
 大小=00001000(4096.)
 Owner=Ped     00400000
 区段=.teraphy
 包含=SFX,imports
 类型=Imag01001002
 访问=R
 初始访问=RWE

要是就是它了00417000（要这个区段，SFX,imports）

tceip<00417000

大家看到了~已经在跟踪之中了。。。慢慢等下~~~。。。^_^