《第2期-02 花指令与CM》学习笔记

本集视频是以一个CM为例讲解的。下载下来的是一个RAR文件,需要修改扩展名为EXE才能发现这是一个易语言写的程序。

破解第一步:脱壳

  1. OD载入后,发现代码都看不懂:


    1.png
  2. 这时候,使用PEiD的插件找OEP


    2.png
  3. 找到的OEP为


    3.png
  4. 来到OEP处,下硬件执行断点


    4.png
  5. 等程序执行后断下来,会发现OEP出代码已经变得正常了:


    5.png
  6. 最后,使用OllyDump把程序保存出来。


    6

去掉花指令

  1. 查找易语言的按钮事件:FF 55 FC 5F 5E


    1

    对于每个找到的按钮事件,都下断点。这个程序就下了两个按钮事件的断点。

  2. 断下来后,F8跟入后会发现都是花指令,使用OD的插件来去除


    8.png

    9.png

这个CM的破解思路

  • 在去除花指令时,对按钮事件下断点。这个是很重要的一点,怎么想到的呢?作者说,谁也不会一下给想到,可以一个方法一个方法的试验,这个方法不行,换那个方法。总是会找到合适方法的。
  • 在跟入按钮事件后,寻找的是大跳转。因为大跳转才可能跳过运行正确的内容,进入错误提示。这个过程真的慢慢F8往下跟,很是需要耐心的。

OD的小知识

  • 在OD中去掉花指令后,发现反汇编窗口中的字体都变灰了,可以右键——分析——删除分析就正常了。

你可能感兴趣的:(《第2期-02 花指令与CM》学习笔记)