od脱壳脚本的使用与编写

我们的软件取自52破解
第一步查壳，并且丢到idapro中看看有什么

可见这个软件是由tElock压缩过的

Idapro也是不负众望的啥也没扫出来，我们od加载一下，这里注意看一下内存加载，基地址是400000，这代表了我们关闭了ALSR这点对我们后面的脱壳很重要

在单步运行到这里时，我们程序会直接跑飞

下断点键入后，逐步步过，发现出现下面这个弹窗，表示本程序是有程序自校验，这里有两个方法，一是找到自校验方式nop掉，二是在每次键入时将断点取消，这也是一个好习惯

看下图发现，此程序还有对调试器的检测，我们这里开启了od的内核插件，但是好像在win10不起作用，没有防止检测，可以选择用win7，来加载

我们重新加载文件，在此处发现对od检测的jmp函数我们将这个函数进行nop即可正常进入软件

如果刚刚没有nop那么我们在下面这个图便会跳转到exitprocess进程结束