破解乐园

单步跟踪法：

1.OD载入，不分析代码。
2.近CALL—F7，远CALL—F8，实现向下的跳转。
3.有回跳处，下一句代码处—F4 （右键—代码断点运行到所选）
4.大的跳转（大跨段，JMP***或JE***或RETN），很快就会到OEP

内存镜像法：

1.OD载入软件
2.点选项—调试选项—忽略全部—CTRL+F2重载
3.ALT+N打开内存镜像，找程序第一个.rsrc—F2下断—SHIFT+F9运行到断点，再打开找到程序第一个.rsrc上面的.code处（就是00401000处），F2下断—SHIFT+F9或无异常按F9，到OEP

模拟跟踪法：

无暗桩情况下使用
1.F9试运行，跑起来就无SEH暗桩之类的，否则就有.
2.ALT+N打开内存镜像，找到包含“=sfx,imports reloco tions”字符
3.地址=***   命令行输入:tceip<***,回车.

ESP定律法：

1.F8，观察OD右上角寄存器中ESP有没有实现（红色）
2.命令行下 DD ******（当前代码ESP值），回车
3.DD就选中下端地址，断点—硬件访问—DWORD断点，F9运行，到跳转处按F8 到DEP

最后一次异常法：

1.OD打开—点选项—调试选项—去掉所有异常—CTRL+F2重载.
2.SHIFT+F9.只到程序运行，记下次数M
3.CTRL+F2重载—按SHIFT+F9（次数为M-1次）
4.按CTRL+G—输入OE右下角的SE句柄前的地址.
5.F2下断—SHIFT+F9到断点处.
6.去断按F8，到OEP.

一步到位OEP法：

只适合少数壳，如UPX，ASPACK
1.CTRL+F—输入：POPAD.回车查找—F2下断—F9运行到此处.
2.来到大跳转处，点F8到OEP.

SFX法：

1.设置OD，忽略所有异常.
2.切换到SFX选项卡，选择“字节模式跟踪实际入口”，确定.
3.重载—“否”压缩代码，到OEP.