双击打开, 提示安装百毒, 我们要破解的就是这个弹窗
查壳是 UPX 壳, 已经脱完了, OD 载入
call1 号F8 一次, 想跨过这第一个 call, 结果跑飞了
我们换 F7 跟进去, 然后 F8 找调用那个窗口的 call
call 2 号向上的跳转就在下面 F4, 一直这样单步之后有个 call 程序跑飞, 我们在这下断
重新载入, F9 运行来到断点, F7 进入这个 call
call 3 号进入以后继续 F8, 又遇到个 call 程序跑飞
下断重载 F9, F7 进入....
call 4 号
call在弹窗 call 4 号的位置发现了一个跳转, 可以跳过 4 号. 我们现在猜, 如果这个跳转实现, 跳过了 4 号, 那么会不会就不弹窗了 ?
有可能是软件在开始的时候会检测你是否安装这个百毒, 如果安装了跳转就实现了, 就不弹窗了
我们在这个关键跳下断, 运行
把这个跳转改成无条件跳转 jmp 运行测试, 弹窗消失, 我们右键保存
这课讲的是单步跟踪也可以破解, 注意的地方和之前脱壳教程一样
