大家好今天给大家讲一下,FSG 2.0 “专用ESP定律”快速找OEP下面请看动画。。。。。FSG 2.0 - bart/xtWin98记事本OD载入运行,无任何异常,判断其为压缩壳。 外壳入口.00400154 8725 EC444100 xchg dword ptr ds:[4144EC], esp //还是可以对ESP定律入手,不过有些变化.0040015A 61 popad 0040015B 94 xchg eax, esp //F8运行到这里,看堆栈. 0040015C 55 push ebp0040015D A4 movs byte ptr es:[edi], byte ptr ds:[esi0040015E B6 80 mov dh, 8000400160 FF13 call dword ptr ds:[ebx]00400162 ^ 73 F9 jnb short NOTEPAD.0040015D00400164 33C9 xor ecx, ecx00400166 FF13 call dword ptr ds:[ebx]00400168 73 16 jnb short NOTEPAD.004001800040016A 33C0 xor eax, eax0040016C FF13 call dword ptr ds:[ebx]0040016E 73 1F jnb short NOTEPAD.0040018F00400170 B6 80 mov dh, 8000400172 41 inc ecx00400173 B0 10 mov al, 1000400175 FF13 call dword ptr ds:[ebx]堆栈友好提示.004144F0 004001E8 NOTEPAD.004001E8004144F4 004001DC NOTEPAD.004001DC004144F8 004001DE NOTEPAD.004001DE004144FC 004010CC NOTEPAD.004010CC //已知的记事本OEP00414500 77E668FB KERNEL32.LoadLibraryA00414504 77E661CD KERNEL32.GetProcAddress直接Ctrl+G 去 4010CC下硬件执行断点,F9运行.或者是点004010CC右键,转存中跟随。。。。(看动画操作)004010CC 55 db 55 ; CHAR 'U'004010CD 8B db 8B004010CE EC db EC004010CF 83 db 83004010D0 EC db EC004010D1 44 db 44 ; CHAR 'D'004010D2 56 db 56 ; CHAR 'V'004010D3 FF db FF004010D4 15 db 15004010D5 E4 db E4004010D6 63 db 63 ; CHAR 'c'004010D7 40 db 40 ; CHAR '@'004010D8 00 db 00004010D9 8B db 8B004010DA F0 db F0004010DB 8A db 8A分析代码。。。。可以运行的。。。。。剩下给大家留下一个作业。。。自己去完成,里面带有脱文的。。。