退出程序彈出

學習eXeScope工具，可以任意修改對話框程序結構及字符串

可以找到退出的模態對話框句柄未103

103的16進制未67

發現前面并沒有跳轉，得到結論為這是一個函數，那么我們找是誰調用了此函數，查看堆棧信息，反匯編跟隨，如下圖?

可以看到上面有一個跳轉，那么上一個call就是注冊的判斷，得到返回值eax做判斷跳轉

我們進入這個call，函數很短

我們修改 mov eax,dword ptr ds:[eax+02c]為? mov eax，1

發現會覆蓋下一行指令，使用我們這樣改，因為兩行均為賦值eax

成功。

?

?

升級版，另一種情況，關于注冊表

100的16進制為64

當退出彈出注冊對話框進入的斷點才是正確的斷點，其他可以刪除掉了

看到了這個跳轉和上一個call，只要使eax等于1，那么就成功了，進入call

此函數為注冊表存放函數，就是軟件的數據庫，eax為0就是函數運行正常，接下來一連串注冊表函數的使用，尋找鍵值，拿出數據。

取這個鍵值，RegName3

修改此處，為了避免覆蓋下面的代碼，我們可以用等價的修改al低位為1就可以

成功。

總結

以上是生活随笔為你收集整理的15. OD-去除程序最后退出时弹出的注册模态对话框，eXeScope、Resource_Hacker工具的学习的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。