首先它是一个压缩包, 我们解压, 结果报错
这肯定不是 个压缩包, 我们改成 exe
果然是一个 exe, 还是易语言写的
查壳有壳
OD 载入, 发现加了花指令, 我们来到 00401000 也看不到代码, 因为加了花指令
我们用 PEiD 插件找到程序 OEP : 00454E54, 直接 OD 跟过来, 我们在这里右键下一个 硬件执行 断点, 然后我们 F9 运行
现在我们到 OEP 了, 我们脱壳
运行程序, 很鬼畜......
现在我们 OD 载入脱壳后的程序, 右键二进制搜索 FF 55 FC 5F 5E 这个是易语言的按钮事件, 不过如果有花指令的话是找不到的
我们下断, 然后我们寻找下一个 Ctrl+L, 再下断, 总共就两个, 我们 F9 运行
程序断下来了, 我们再次 F9, 此时我们拖入文件, 又断下来了, 我们 F7 跟进去
如果有花指令, 就用插件 E Junk Code, 刚才的花指令已经全被 nop 了
然后我们 F8 单步
程序在这里提示错误, 我们在这里下断
F9 运行, 拖入文件, 再次 F9, 断在刚才的 call
我们 F7 跟进去, F8 找有没有大跳转
找到了这个跳转, 它跳过了很多窗口, 并且已经实现, 我们不让它跳看看会发生什么, 下个断
还是提示错误信息 (拉二胡), 估计是里面还有一个跳转让我们失败了
我们再次拖入文件, 让程序断在这个跳转
直接把这个跳转 nop 掉, 然后我们 F8 单步跟踪
又找到个大跳转, 跳过了很多窗口, 先下断, 然后让它不跳看看, 直接 nop 掉, 运行
爆破成功了, 我们右键保存
