環(huán)境： Windows xp sp3
工具： Ollydbg exeinfope

0x00 查殼

可以看出程序有加殼，那么我們下一步就是脫殼了。

0x01 脫殼

看上去沒什么特別的地方，就直接 單步跟蹤法 來脫殼吧
近c(diǎn)all F7，遠(yuǎn)call F8
來到這里

哈，這里就是跳到OEP了，F7過去。

然后就是脫殼了，這里直接使用OD來脫殼就好了。

脫殼后程序仍然能正常運(yùn)行。

0x03 分析

看看題目說這個(gè)程序用了什么保護(hù)方式：

那我們只需要去掉運(yùn)行程序后彈出來的Nag窗口和對(duì)這個(gè)未注冊(cè)處理就好了。

1.Nag窗口
首先是除去Nag窗口：

通過查找字符串的方法，可以很快速的定位到這個(gè)Nag窗口是一個(gè)MessageBox，
那我們將整個(gè)MessageBox NOP掉就好了。

保存一下，程序能夠正常運(yùn)行，接下來我們就要將顯示的信息從 Unregistered 改為 Registered，

2.修改顯示內(nèi)容
也是通過查找字符串的方法定位到這個(gè)顯示的字符串所在的函數(shù)。

這里就更簡(jiǎn)單了，本來壓入棧的字符串地址為0040205C，前面又有一個(gè)Registered，我們將這個(gè)壓入的字符串地址改為Registered的就好了。

可以看到壓入棧的字符串地址已經(jīng)是Registered了，保存一下所做的修改。

可以看到程序顯示正常，并且運(yùn)行后彈出的Nag窗口也消失了。

總結(jié)

以上是生活随笔為你收集整理的160 - 50 DueList.5的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。