脱壳基础知识入门之Dump内存映像

外壳程序解压还原后就会跳到OEP处执行，此时内存映像文件是己解压的程序。

这时就可抓取内存映像文件了（该过程称为Dump）。

当然不一定非要在程序原入口点抓取，只要能保证内存映像文件是己还原的就行了。

继续上一个实例notepad.upx.exe，到OEP后就可以Dump取内存映像文件：
004010CC55push ebp
004010CD8BEC mov ebp,esp
004010CF83EC44sub esp,44
运行LordPE.EXE，点击Options，默认选项如下：
默认选上“Fulldump:pasteheaderfromdisk”，PE头的信息直接从磁盘文件获得。

设置好后，在LordPE的进程窗口选择notepad.upx.exe，点击右键，执行“dumpfull”菜单命令。

如图：
将内存抓取的文件另存为dumped.exe，此时程序还不能运行，接下来就是重建输入表。