ESP定律脱ASPack 2.12 -> Alexey Solodovnikov

只为个人记录后用，网上有很多

006FD001 > 60               PUSHAD                                   ; F8

006FD002   E8 03000000      CALL JSBuilde.006FD00A                   ; ESP

006FD007  -E9 EB045D45      JMP 45CCD4F7

006FD00C   55               PUSH EBP

006FD00D   C3               RETN

右键数据窗口跟随，硬件断点，F9运行

006FD3B0   75 08            JNZ SHORT JSBuilde.006FD3BA              ; F8

006FD3B2   B8 01000000      MOV EAX,1

006FD3B7   C2 0C00          RETN 0C

006FD3BA   68 94065300      PUSH JSBuilde.00530694

006FD3BF   C3               RETN                                     ; OEP

删除断点，F8到达 RETN  进入程序入口点

00530694     55             DB 55                                    ;  CHAR U

00530695     8B             DB 8B

00530696     EC             DB EC

00530697     83             DB 83

00530698     C4             DB C4

00530699     F0             DB F0

0053069A     53             DB 53                                    ;  CHAR S

分析代码

00530694   . 55             PUSH EBP                                 ;  程序入口点

00530695   . 8BEC           MOV EBP,ESP

00530697   . 83C4 F0        ADD ESP,-10

0053069A   . 53             PUSH EBX

OD自带插件脱壳 保存 

可以正常运行，查壳 Borland Delphi 6.0 - 7.0   可以看到编译器了

from hoy0a1ds Blog