本集视频是以一个CM为例讲解的。下载下来的是一个RAR文件,需要修改扩展名为EXE才能发现这是一个易语言写的程序。
破解第一步:脱壳
-
OD载入后,发现代码都看不懂:
1.png -
这时候,使用PEiD的插件找OEP
2.png -
找到的OEP为
3.png -
来到OEP处,下硬件执行断点
4.png -
等程序执行后断下来,会发现OEP出代码已经变得正常了:
5.png -
最后,使用OllyDump把程序保存出来。
6
去掉花指令
-
查找易语言的按钮事件:FF 55 FC 5F 5E
1
对于每个找到的按钮事件,都下断点。这个程序就下了两个按钮事件的断点。
-
断下来后,F8跟入后会发现都是花指令,使用OD的插件来去除
8.png
9.png
这个CM的破解思路
- 在去除花指令时,对按钮事件下断点。这个是很重要的一点,怎么想到的呢?作者说,谁也不会一下给想到,可以一个方法一个方法的试验,这个方法不行,换那个方法。总是会找到合适方法的。
- 在跟入按钮事件后,寻找的是大跳转。因为大跳转才可能跳过运行正确的内容,进入错误提示。这个过程真的慢慢F8往下跟,很是需要耐心的。
OD的小知识
- 在OD中去掉花指令后,发现反汇编窗口中的字体都变灰了,可以右键——分析——删除分析就正常了。
