简单脱壳教程笔记(9) --- 手脱TELock0.98b1壳

本笔记是针对ximo早期发的脱壳基础视频教程，整理的笔记。本笔记用到的工具下载地址：

http://download.csdn.net/detail/obuyiseng/9466056

TELock

操作

1.最后一次异常法

1、选项---》调试设置---》异常------取消所有异常。


在OD插件--StrongOD--Options--Skip Some Exceptions选项取消，重启OD再试试。

2、然后将程序重新载入

3、按shift+f9 ，发现17次shift+f9 就会让程序跑起来了， 

4、由于17次跑飞，我们重新加载程序，按16次shift+f9，然后在堆栈窗口中  找SE句柄

5、然后 我们ctrl +g 转到 0042D7FD处，并按F2设置断点

6、shift+f9 运行，到断点处，然后再次按f2取消断点，然后单步跟踪即可，就会到达OEP。

7、然后脱壳即可

8、最后将OD配置设置回原来的样子。

2.模拟跟踪

此时需要和最后一次异常一样配置OD

1、 我们加载程序，按16次shift+f9，然后在堆栈窗口中  找SE句柄

2、然后 我们ctrl +g 转到 0042D7FD处，并按F2设置断点

3、shift+f9 运行，到断点处，然后再次按f2取消断点，打开内存窗口，并找到 含有“sfx...”的位置，在命令处输入 tc eip<0042c000

然后回车，等待跟踪完成后，（时间有点长，请耐心等待）发现直接跳转到了OEP,然后脱壳即可。

4、最后将OD配置设置回原来的样子。

3.两次内存镜像

1、来到内存窗口，在 含有“.rsrc”区段处 下断点，按shift+f9运行

2、再次来到内存窗口，含有“.text”区段处下断点，按shift+f9运行，发现直接来到了OEP