方法1:单步跟踪
向下的f8,向上的通过f4跳过,注意f4不要进CALL
方法2:ESP定律法
单步一次后对ESP地址打硬件访问四字节断点
方法3:2次内存镜像法
打内存访问断点
进程序直接看内存,找用户(应用的)第一个 .rsrc资源文件
x64dbg 打内存访问断点 od打内存中断
运行,然后再次进内存,找靠近.rsrc那一块的第一行打内存访问断点
运行,OEP就在附近。
方法4:一步直达法、
ctrl+f找popad出栈位置
本技术内容仅供学习和交流使用,如有疑问请联系qq2014160588并注明来意。请确保在使用过程中遵守相关法律法规。任何因使用本技术内容而导致的直接或间接损失,作者概不负责。用户需自行承担因使用本技术内容而产生的所有风险和责任。请勿将本技术内容用于任何非法用途。
