winlicense/TMD脱壳Tips

1.高版本code段下硬件写断点,跑到后面等解密

特征 rep movs byte ptr es:[edi],byte ptr ds:[esi]

2.低版本以VM解VM

1. .text段下内存写入断点,shift+F9,取消内存断点.
2. bp GetProcessHeap+C,F9,取消断点.
3. .text段下F2断点,F9到oep或者oep的第一个call里面的位置.

https://www.52pojie.cn/thread-50936-1-1.html

3.ESP大法脱剩下的UPX