攻防世界 evil 一次手动脱壳

题目描述：

员工小A收到了一封邮件，带一个文档附件，小A随手打开了附件。随后IT部门发现小A的电脑发出了异常网络访问请求，进一步调查发现小A当时所打开的附件其实是一个伪装成word文档的恶意可执行文件。 请在试着分析evil.exe和其所下载的x.jpg, 从中找出key.

分析过程：

.exe文件发现反编译不了，用winhex查看发现加了UPX壳

上脱壳工具发现脱不了，只能手动脱壳了，上OD，分析了很长一段时间后发现，它是两次的UPX壳


这里用ESP定律法，把push进来的ESP下成硬件断点，然后F9，再慢慢调试之后，会进行一个大跳转

ESP定理脱壳（ESP在OD的寄存器中，我们只要在命令行下ESP的硬件访问断点，就会一下来到程序的OEP了！）
1.开始就点F8，注意观察OD右上角的寄存器中ESP有没突现（变成红色）。（这只是一般情况下，更确切的说我们选择的ESP值是关键句之后的第一个ESP值）
2.在命令行下：dd XXXXXXXX(指在当前代码中的ESP地址，或者是hr XXXXXXXX)，按回车！
3.选中下断的地址，断点—>硬件访—>WORD断点。
4.按一下F9运行程序，直接来到了跳转处，按下F8，到达程序OEP。

跳转之后发现程序的真正入口点，然后Dump下来

再用IDA打开，已经可以反汇编了。主函数如下：

题目下载的时候没有给图片啊，链接也访问不了了，没有图片没法继续往下做了。
手动脱壳搞了快一天。
未完待续。。。