速脱UPX壳

• 工具：OD(201版), PEiD v0.95,ImportREC v1.7, KMS10.exe（目标PE¹）
• 调试系统：WinXP
• 目标系统：Win10

步骤一：查壳

步骤三 dump内存文件

既然这样，那么用插件，直接dump出来就行了！

1. 选择要处理的进程，此时od不能关闭，因为他打开了目标程序，也就是说程序此时在内存中有一个完整的数据，并且是解压缩后的原始程序
2. 修改OEP，也就是在OD中找到的OEP，OD中的地址需要减去00400000；
3. 显示无效函数，发现没有无效的函数
4. 修复转存文件即可

注意第5步，有时候会有无效函数，少量的无效函数直接剪切（右键剪切）掉或者删除就行了，一般是不影响软件运行的。

PEiD自带插件脱壳

另外还要说一下，上面本来打算用ESP定律手动脱一下壳的，但是OD太给力，自动给脱了，实际上，只用PEiD这个工具就能脱了，它自带了个通用脱壳器，如下：

OD手脱UPX壳（ESP脱壳）

还是在补充一下如何手脱UPX壳吧，挺简单的（我也是新手，目前在研究脱Themida壳）
我另找了一个OD，版本是

假设我们练习手脱UPX壳的话，最好是把自动提取SFX模块关闭掉，这样程序一附加就能进入到主模块入口处，也就是 pushad处

1. 资源软件可以到这里下载：https://download.csdn.net/download/junehappylove/11340887 ??

2. 有趣的二进制，中的原话，小日本写的书，简单易懂，还可以 ??