《第2期-02 花指令与CM》学习笔记

本集视频是以一个CM为例讲解的。下载下来的是一个RAR文件，需要修改扩展名为EXE才能发现这是一个易语言写的程序。

破解第一步：脱壳

1. OD载入后，发现代码都看不懂：

   
   
   1.png

2. 这时候，使用PEiD的插件找OEP

   
   
   2.png

3. 找到的OEP为

   
   
   3.png

4. 来到OEP处，下硬件执行断点

   
   
   4.png

5. 等程序执行后断下来，会发现OEP出代码已经变得正常了：

   
   
   5.png

6. 最后，使用OllyDump把程序保存出来。

   
   
   6

去掉花指令

1. 查找易语言的按钮事件：FF 55 FC 5F 5E

   
   
   1
   
   

   对于每个找到的按钮事件，都下断点。这个程序就下了两个按钮事件的断点。

2. 断下来后，F8跟入后会发现都是花指令，使用OD的插件来去除

   
   
   8.png
   
   
   9.png

这个CM的破解思路

• 在去除花指令时，对按钮事件下断点。这个是很重要的一点，怎么想到的呢？作者说，谁也不会一下给想到，可以一个方法一个方法的试验，这个方法不行，换那个方法。总是会找到合适方法的。
• 在跟入按钮事件后，寻找的是大跳转。因为大跳转才可能跳过运行正确的内容，进入错误提示。这个过程真的慢慢F8往下跟，很是需要耐心的。

OD的小知识

• 在OD中去掉花指令后，发现反汇编窗口中的字体都变灰了，可以右键——分析——删除分析就正常了。