内存跟踪脱壳的原理，自己想的，请高手斧正

gtboy

esp定律的原理看到的很多，别的脱壳方法的原理就不是很清楚了，看了会教程，想了下内存跟踪的原理，也不知对不，与菜鸟们分享下子，有不对的地方，还请大家指出来。

首先要先说下壳的加载过程了，
1.获取壳自己所需要使用的API地址
2.解密原程序的各个区块(Section)的数据  //第一次下内存断点
3.重定位                                //第二次下内存断点
4.HOOK-API                        
5.跳转到程序原入口点（OEP）             //一般的壳在这里会有明显的一个“分界线”。但现在的猛壳己没这界限了，壳里有肉，肉里有壳。

也许是这个原理太简单了，大家都不提，我就写下子，算是自己的记录吧。与各位菜鸟同志分享，希望我们都能不断进步。

支持飘云阁的发展。

[ 本帖最后由 gtboy 于 2007-12-19 14:09 编辑 ]