脱壳.UPolyX v0.5 *

想要脱
VMP
的壳，首要工作当然是要找一个强
OD
啦！至于是什么版本的
OD
自己多试验几个，网上
大把大把的，一般来说只要加载了你想脱的
VMP
加壳程序不关闭都可以。

其次就是
StrongOD.dll
这个插件了，现在用的比较多的就是海风月影，同样网上也是大把大把的。下载
回来后复制到你的
OD
程序所在的文件夹里面的
plugin
里。
StrongOD
的设置选项搞不懂就全部打钩。

接下来要做的工作就是搞清楚我们要脱壳的程序编程的语言了，
可以用
PEID
或者
fastscanner
查看
,
如果
在这里看不到也可以在
OD
载入以后通过里面的字符串判断了。例如
VB
的程序会出现
MSVB----/VC
的会
出现
MSVC---
等等。这些都是程序运行所需要的
windows
链接文件。

做完这些预备工作接下来当然是用
OD
载入文件啦。文件载入后在反汇编窗口
CTRL+G
搜索
VirtualProtect(
注意
V
跟
P
要大写，
至于为什么要搜索这个别问我
)
。
一般来说搜索的结果会出现以下的类似：

7C801AE3

E8 75FFFFFF
call kernel32.VirtualProtectEx

我们在这里下
F2
断点。
然后
F9
运行到我们下的这个断点。
接下来我们就要注意观察堆栈窗口了。
一般来
说当我们
F9
运行到我们上面下的断点的时候在堆栈窗口会出现以下