Unpacking Executables - The ESP Trick

脱壳界无人不知无人不晓的 ESP 定律！逆向基础之 ESP 定律！如果你不知道这个，去看雪论坛，你都不好意思跟别人打招呼。

这个 ESP 定律，我也是高中那会看《黑客X档案》有看过，也只是看过吧，没有仔细实践过。大约就是带壳的程序在运行的某个瞬间，堆栈平衡的时候，ESP 那里的内存地址就是脱壳出来的实际的程序内存镜像的地址，直接 dump 这块内存出来就是脱壳的程序了。

原理大概是这样，但至于为什么会产生 ESP 这样神奇的事情，看雪好像有个帖子有从 Windows 的内存映射以及程序执行流去解释的，然而我也懒得去找地址了，有兴趣的同学可以自行 Google 一下。