1.call
这个命令是访问子程序的一个汇编基本指令。也许你说，这个我早就知道了！别急请继续看完。call真正的意义是什么呢？我们可以这样来理解：


1.向堆栈中压入下一行程序的地址；

2.JMP到call的子程序地址处。
例如：
00401029.E8 DA240A00 call 004A3508
0040102E.5A pop edx
在执行了00401029以后，程序会将0040102E压入堆栈，然后JMP到004A3508地址处！


2.RETN
与call对应的就是RETN了。对于RETN我们可以这样来理解：

1.将当前的ESP中指向的地址出栈；

2.JMP到这个地址。
这个就完成了一次调用子程序的过程。在这里关键的地方是：如果我们要返回父程序，则当我们在堆栈中进行堆栈的操作的时候，一定要保证在RETN这条指令之前，ESP指向的是我们压入栈中的地址。这也就是著名的“堆栈平衡”原理！


3.狭义ESP定律
ESP定律的原理就是“堆栈平衡”原理。


让我们来到程序的入口处看看吧！

1.这个是加了ASPACK壳的入口时各个寄存器的值！
EAX 00000000 ECX 0012FFB0 EDX 7FFE0304 //堆栈值
EBX 7FFDF000 //堆栈值
ESP 0012FFC4
EBP 0012FFF0
ESI 77F57D70 ntdll.77F57D70
EDI 77F944A8 ntdll.77F944A8
EIP 0040D000 ASPACK.

2.这个是ASPACK壳JMP到OEP后的寄存器的值！
EAX 004010CC ASPACK.004010CC
ECX 0012FFB0
EDX 7FFE0304 //堆栈值
EBX 7FFDF000 //堆栈值
ESP 0012FFC4
EBP 0012FFF0
ESI 77F57D70 ntdll.77F57D70
EDI 77F944A8 ntdll.77F944A8
EIP 004010CC ASPACK.004010CC
呵呵~是不是除了EIP不同以外，eax保存当前OEP值，其他都一模一样啊！
为什么会这样呢？我们来看看

0040D000 A> 60 pushad //注意这里ESP=0012FFC4
0040D001 E8 00000000 call ASPACK.0040D006 //ESP=0012FFA4

PUSHAD就是把所有寄存器压栈！我们在到壳的最后看看：

0040D558 61 popad //ESP=0012FFA4
0040D559 75 08 jnz short ASPACK.0040D563 //注意这里ESP=0012FFC4

也就是说当我们对ESP的0012FFA4下硬件访问断点之后。当程序要通过堆栈访问这些值
，从而恢复原来寄存器的值，准备跳向苦苦寻觅的OEP的时候，OD帮助我们中断下来。


小结：我们可以把壳假设为一个子程序，当壳把代码解压前和解压后，他必须要做的是遵循堆栈平衡的原理。

因为大家对ESP理解各有异同，但是，大同小异！一般理解可以为：

1、在命令行下断hr esp-4（此时的ESP就是OD载入后当前显示的值）

2、hr ESP(关键标志下一行代码所指示的ESP值(单步通过))


5.总结

现在我们可以轻松的回答一些问题了。


1.ESP定律的原理是什么？
堆栈平衡原理。


2.ESP定律的适用范围是什么？
几乎全部的压缩壳，部分加密壳。只要是在JMP到OEP后，ESP=0012FFC4的壳，理论上我们都可以使用。但是在何时下断点避开校验，何时下断OD才能断下来，这还需要多多总结和多多积累。


3.是不是只能下断12FFA4的访问断点？

当然不是，那只是ESP定律的一个体现，我们运用的是ESP定律的原理，而不应该是他的具体数值，不能说12FFA4，或者12FFC0就是ESP定律，他们只是ESP定律的一个应用罢了

无聊
对ASPACK壳进行尝试，
网上已经流传了各种方法
1.单步
2.ESP
3.内存镜像
4.查询popad
各种方法都简单的尝试了下，看起来脱ASPACK还是比较简单的

单步和查询popad的原理稍微理解
其他常用的脱壳方法原理还不是很熟悉，等有时间去网上搜索下

脱壳的几种方法总结

方法一:单步跟踪法

1.用OD载入,选"不分析代码"

2.单步向下跟踪按F8，实现向下的跳.不让程序往回跳.

3.遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——>运行到所选）

4.如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，不然程序很容易运行.

5.在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入.

6.一般遇到很大的跳转（跨段跳），比如 jmp XXXXXX 或 JE XXXXXX 或有RETN的一般很快就会到程序的OEP。

方法二:ESP定律法

1.开始就点F8向下走，注意观察OD右上角的寄存器中ESP有没突现（变成红色）

2.在命令行下：dd XXXXXXXX(指在当前代码中的ESP地址，或者是hr XXXXXXXX)，按回车！

3.选中下断的地址，断点--->硬件访--->WORD断点。

4.按一下F9运行程序，直接来到了跳转处，按下F8向下走，就到达程序OEP。

方法三:内存镜像法

1.用OD打开,设置选项——调试选项——异常,忽略所有异常(也就是把里面的忽略全部√上),然后CTRL+F2重载下程序！

2.按ALT+M,打开内存镜象，找到程序的第一个.rsrc.按F2下断点，然后按SHIFT+F9运行到断点.

3.接着再按ALT+M,打开内存镜象，找到程序的第一个.rsrc.上面的.CODE，按F2下断点！然后按SHIFT+F9，直接到达程序OEP！

方法四:一步到OEP

1.开始按Ctrl+F,输入：popad,然后按下F2下断，按F9运行到此处.

2.很快来到大跳转,按F8向下走,来到OEP.

方法五:最后一次异常法:

第一步:用OD打开程序,点击选项——调试选项——异常，把里面的√全部去掉！CTRL+F2重载下程序.

第二步:接着我们按SHIFT+F9,直到程序运行,记下从开始按SHIFT+F9到程序运行的次数n.

第三步:重载程序,再按SHIFT+F9,这次按的次数为上次让程序运行时的次数的n-1次.

第四步:此时观察OD的右下角有一个"SE 句柄",这时我们按CTRL+G，输入SE 句柄前的地址！来到这个地址.

第五步:在这里,按F2下断点！然后按SHIFT+F9来到断点处！

第六步:这时候我们已经跳过了所有异常,然后去掉断点，按F8慢慢向下跟踪很快就到达OEP了.

此文章为自己实战结果，如要转载 方便的话请注明转自 一米阳光

1.Microsoft Visual C++ 6.0 SPx Method 1
程序为:Notpad-98.exe

CPU Disasm
Address   Hex dump          Command                                  Comments
004010CC  /.  55            PUSH EBP
004010CD  |.  8BEC          MOV EBP,ESP
004010CF  |.  83EC 44       SUB ESP,44
004010D2  |.  56            PUSH ESI
004010D3  |.  FF15 E0634000 CALL DWORD PTR DS:[<&KERNEL32.GetCommand ; [KERNEL32.GetCommandLineA

2.Borland Delphi 6.0 - 7.0
程序为:Delphi 7 新建窗体项目 未添加任何控件

0044CA98  /.  55            PUSH EBP
0044CA99  |.  8BEC          MOV EBP,ESP
0044CA9B  |.  83C4 F0       ADD ESP,-10
0044CA9E  |.  B8 B8C84400   MOV EAX,Project1.0044C8B8
0044CAA3  |.  E8 2091FBFF   CALL 00405BC8                            ; [Project1.00405BC8
0044CAA8  |.  A1 B8DF4400   MOV EAX,DWORD PTR DS:[44DFB8]
0044CAAD  |.  8B00          MOV EAX,DWORD PTR DS:[EAX]
0044CAAF  |.  E8 9CE6FFFF   CALL 0044B150                            ; [Project1.0044B150