其实已经是大一下刚开始的事情了，补个档

手动脱壳の新年快乐
查壳，有壳，UPX

X32dbg打开文件，查看初始断点

点击PUSHAD跟进，CTRL+*设置EIP，开始F8步过，寻找ESP寄存器第一次单个变红的地址

此时的内存窗口

开始步过

第一次步过就发现ESP单个变红，右键跟进内存窗口

然后在第一个地址的16进制数下断点

然后F9运行程序，运行后在停下的位置附近找到POPAD，随后记下JMP跳转的地址，也就是断点的地方的地址，点开xdbg上面那里的附带脱壳与修复工具



在下面IAT信息那里的OEP那栏输入刚才断点的地址

点击转储，也就是脱壳，保存脱壳后的文件，随后再点击IAT信息哪里的IAT自动搜索，然后再点击获取导入

再点击修复转储

打开刚才脱壳后的文件，这一步的作用是修复脱壳后损坏的文件

做完后自动生成的文件就是脱壳成功的文件

脱壳成功