小黑话不多

什么是壳大家应该先明白“壳”的概念。在自然界中，我想大家对"壳"这东西应该都不会陌生了，植物用它来保护种子，动物用它来保护身体等等。同样，在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然（当然后来也出现了所谓的“壳中带籽”的壳）。由于这段程序和自然界的壳在功能

1.     定位OEP1.1  ESP定律（栈平衡）使用UPX对计算器calc.exe进行加壳。OD载入，如下：第一条指令PUSHAD表示将所有通用寄存器值压栈，这些值即代表原程序加壳前的值，在壳运行完成后，需要借助栈恢复这些值，程序转到OEP，原程序才能正常执行。F8向下走一步，此时ESP的值为压栈后的值：对该ESP值下硬件断点：HW 0007F

傀儡进程创建过程：(1) CreateProcess一个进程，并挂起，即向dwCreationFlags 参数传入CREATE_SUSPENDED；(2) GetThreadContext获取挂起进程CONTEXT，其中，EAX为进程入口点地址，EBX指向进程PEB;(3) ZwUnmapViewOfSection卸载挂起进程内存空间数据；(4) VirtualAllo