[求助]flashboot——高手给个爆破的思路
外层是UPX，从入口点开始便是VMP了。

等能够还原VMP的人来处理吧。

我还是先看看引导扇区，也许会有发现。

[原创]很容易破的处女CrackMe_v0.1_by_ParaChAos
看了一下传说中的NoobyProtect，真是。。。一点也看不明白。

我在调试器里根本就跑不起来！

顶礼膜拜之。

[求助]关于OD加载插件的问题
AutoPath我没有使用，不知道它的用法。

我记得好像默认支持32个插件，不知道记得准不准。

我目前使用Advanced插件，可以使OD支持127个插件。

不过我Plugin目录下实际上共有25个插件，所以没有出现插件无法加载的问题。

[求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]怎样脱壳呀
补overlay数据。

[原创]很容易破的处女CrackMe_v0.1_by_ParaChAos
经过几翻无头结绪的乱打乱撞，终于发现了BigInteger的结构，终于发现原来是RSA。

于是只会爆破。

[求助]拦截快捷键
最好还是根据你按F7后程序所执行的功能来找相关的API下断点，而不是找按下F7时的响应代码。

如果要找按键的响应代码，一种方法就是消息断点，找到程序主窗口，对WM_KEYDOWN消息下消息断点，然后自己跟踪到具体的功能代码位置。

但消息断点的方法可能（实际上是大多数情况）无效。

[求助]OD F4变F9了
断点只有当程序确实执行那一条指令时才会中断。你随便找一个根本不会运行到的地址，它当然不会中断了。

F4的实质也是断点，只不过是一旦断点触发，OD就自动删除了断点，所以称为“一次性断点”，或者称“运行到所选”。

[求助]算法求逆
是本站解密教学的某示例程序或习题程序。

程序没有对输入长度进行限制，按此式，为最简，可设码长为4，即ABCD：

   00A0  \
   0AB0   |
   ABC0    > 字符串长度行
+  BCDA   /
---------
   WXYZ = EDX

为简化求解，假设相加过程中每个字节都没有进位，那么

W = A+B
X = A+B+C
Y = A+B+C+D
Z = A

从而解得A、B、C、D的值，然后验证其确实没有进位（若有进位，则对结果进行修正）。

[求助]软件汉化怎么开始
汉化不是简单地把外文替换成中文这么简单，需要一定的逆向技术，不是三言两语就能讲清楚。

简单来说，通常没有加密的程序，可以用资源编辑软件，如ResHacker、eXesCope等，打开程序，会看到其中的所有资源项（没有加密），把需要修改的资源内容改成中文，然后重新编译资源脚本再保存文件即可。

注意，有的程序，相关资源不是EXE文件当中，可能在某DLL文档中其它文件当中。

不过不保证所有程序都如此，也不保证修改后程序不会出错。

如果真要从事此类工作，应该先学一些逆向的基础知识。

[求助]关于OD加载插件的问题
OD的插件直接放OD的plugin目录就行。

如果是合法的插件，应该会导出_ODBG_Plugininit之类的函数，OD确认插件的有效性后会自动加载。

是不是你插件太多了？OD所能加载的插件是有限的。

[求助]flashboot——高手给个爆破的思路
无穷循环？

大概是一个虚拟机引擎。

虚拟机分析难度不小，还不如从引导扇区入手，总共才几百个字节，全部反汇编也没多少条指令。

[注意]HANDLE_NOT_CLOSABLE
谢谢你。

我本意就是告诉大家这个HANDLE_NOT_CLOSABLE可以用来检测调试器，所以直接调用了，没做隐藏处理。

而我一直没用上海风的强OD，因为我使用的是x64的系统。所以并不知道有没有过。

我在一篇博客文章中看到这个内容，但在msdn中没有找到任何相关的描述。这应该算是一未文档的内容了。

KiRaiseUserExceptionDispatcher

[推荐]一个有助于看友们上传的好空间
发广告，还带有推荐人参数。

已编辑

CLOSE

[注意]HANDLE_NOT_CLOSABLE
有可能。这个demo用了时间检测，而这个时间阈值我是直接硬编码了。

不过这个方法的关键不在这个时间检测。我稍作修改，重新上传，你再试试这个。

这个更清楚地演示了程序用到的原理。不过既然检测用到的原理简单，所以在调试器中绕过检测其实也是十分简单的。

[求助]关于timer 里的中断
内核直接调度一个user APC来回调用户提供的回调函数。

int 0x2b不是调用用户提供的回调函数，是用户态的回调函数返回内核的入口。

这里有关于user APC的很好的文章。

896K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3&6&6L8X3q4W2N6X3g2Q4x3X3g2F1k6i4c8Q4x3V1k6Q4x3@1k6H3i4K6y4p5x3U0l9H3

[求助]关于api的问题
微软的软件授权协议里是明确禁止对产品进行逆向工程及破解修改的。所以，除非微软自己，或者微软授权，否则是不会有这种出版物出现的。

不过，在网络上可以找到不少相关的资料。还有，虽然现在的Windows版本没有，倒有一本书是分析Windows3.1的，全逆向分析。书名就叫做《Windows内核剖析》虽然Window3.1与现在的NT内核差异很大，分析方法和思想是值得学习的。

另外一本书，叫《Undocumented Window NT》，是分析NT内核服务和native API的。

此外，有一个开源项目叫React OS，他们的目标是实现一个与Microsoft Windows最大可能的二进制兼容的系统，并且该项目取得的成果还是相当显著的。很多对Windows系统的研究都借鉴ReactOS的代码来进行。官方网站是：bb5K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4u0W2j5h3y4@1L8%4y4Q4x3X3g2G2M7X3N6Q4x3V1k6*7K9q4)9J5c8X3W2F1k6r3g2^5i4K6u0W2K9s2c8E0L8l9`.`.

[求助]IDA PRO里 数据与代码切换问题
因为字符串是中文的，IDA支持不好。

[求助]关于海狼三人组的那个CrackMe分析过程我有看不懂的地方，请大家指点一下
我来回答第1个问题。

用OD载入程序，按F9运行，出现软件界面，但OD显示被调试的进程已经退出。显然是进程通过创建子进程来躲避调试的。