od怎么破在内存中运行的exe

---

一、如何使用脱壳脚本?文本文件的格式包括TXT格式和OSC格式。所有内容都必须加载到OD中。一般情况下，先在OD中挖掘EXE文件，然后选择EXE的脚本脚本，然后运行OD。但著作并不是万能的。

---

二、如何学习OD调试软件啊？一、OD简介
1．OD简介
OD标准函数
1汇编代码对应的地址窗口（一般是同一程序的地址窗口（同一条指令该值相同）不同系统环境下）
2.汇编代码对应的十六进制机器码窗口
3.当前执行的反汇编代码信息窗口
10~12.堆栈地址，存放的数据，对应的描述信息
组合键
F2设置断点，即指定断点的地址
F3加载可执行程序进行调试和分析
F4运行程序到光标处
F5缩小并恢复当前窗口
F7单步进入
F8单步进入
F9直接执行程序，遇到断点时程序停止
Ctrl+F2重新执行程序到起点，一般用于重新调试程序
Ctrl+F9执行到函数返回点，用于退出程序函数执行
Alt+F9执行用于快速退出系统功能的用户代码
Ctrl+G输入十六进制地址，快速查找地址
2。关于寄存器
EAX：扩展累加寄存器
EBX扩展基址寄存器
ECX扩展计数寄存器
EDX扩展数据寄存器
ESI扩展源寄存器
EDI扩展目的寄存器
以下三个不能随意使用，范围是(0--ffffffff)
EBP扩展基址寄存器，主要用于栈和栈帧
ESP扩展堆栈指针寄存器，指向当前进程指向的堆栈内存地址
EIP：扩展指令指针寄存器，始终指向下一条指针指令
3。调试能力总结
调试能力总结
1.F2设置断点，Alt+b打开断点编辑器，可以编辑所有设置的断点。空格键可用于快速改变断点状态。
2.如果您在CALL中，想要返回到调用CALL的地方，可以按键盘快捷键“Ctrl+F9”执行返回功能。
这样，OD会在找到的第一个返回命令（例如RET、RETF或IRET）处停止。
3.如果执行完系统DLL提供的API函数后想返回应用程序作用域，可以按Alt+F9执行返回用户代码命令。
4.所谓领空，实际上是指CPU在特定时间执行的指令所在的特定代码段的所有者。
5.004013F7这样的地址一般是在可执行文件空间，7C8114AB这样的大地址一般是系统DLL所在的地址空间。
6.程序通常使用以下两个函数来读取文本字段的字符串内容：
GetDlgItemTextA(GetDlgItemTextW)
GetWindowTextA(GetWindowTextW)
7．一般来说，我们需要结合经验，通过猜测尝试多次陷入陷阱，找到相关特征。
8.按“Ctrl+G”键打开表达式后面的窗口。
9.您还可以使用“Ctrl+N”键打开应用程序的导入表（输入表），然后查看应用程序总共导入了哪些功能，以推断在哪里挖陷阱！
10.关于返回值，约定汇编代码的返回值存放在EAX寄存器中。如果32位EAX不足以存储返回值，系统会将返回值放置在内存中的特定位置并存储在该位置。地址在eax中返回。