http://hi.baidu.com/ximo2006/blog/item/dc630103b080f00d728da567.html VMP的外壳部分不能说难，只能说烦。特别是IAT的修复，由于函数调用的错位（并非是规则的call xxxx nop或者nop call xxxx系列）、寄存器使用的随机性、大量的乱序等，使得写脚本修复是个非常蛋疼的事情，而且往往会修复错，修复漏，而VM代码里的

http://hi.baidu.com/ximo2006/blog/item/1ae9d6044406c976030881e1.html 小菜鸟初玩VM，简单记录下，当做学习笔记。 只是简单的爆破分析而已，不涉及还原，当然知道了原理，还原也只是个体力活。能力有限，写的东西可能有很多错误，请大家多多指点。 首先，先写几句简单的代码，当做试炼程序。 #include <stdio.h>

1.描述： 学习目的是如何手脱Nspack壳 本文采用ximo脱壳基础/3.手脱Nspack壳/QQ个性网名昵称查看器1.3.exe进行脱壳。 2.分析   首先通过PEID进行查壳信息：   olldbg加载QQ个性网名昵称查看器1.3.exe，执行ESP定律进行脱壳，如下所示：   执行F9，然后执行F8单步命令，当执行到jmp 命令时，出现异常情况，OD没有正确的将内存数据转换成汇