我使用的工具为OD，刚刚接触这个软件
载入程序后加入bp ShellExecuteA断点
程序运行后在弹窗的前一刻停在
763D7078 >  8BFF             MOV EDI,EDI
763D707A    55               PUSH EBP
763D707B    8BEC             MOV EBP,ESP
763D707D    83EC 40          SUB ESP,40
763D7080    A1 ECAF5576      MOV EAX,DWORD PTR DS:[7655AFEC]
763D7085    33C5             XOR EAX,EBP
在右下角可以看到下面
0012F768   00422EB8  /CALL 到 ShellExecuteA
0012F76C   00000000  |hWnd = NULL
0012F770   00490CD8  |Operation = "open"
0012F774   0049191C  |FileName = "IEXPLORE.EXE"
0012F778   0335B200  |Parameters = "http://cams.gdut.edu.cn/selfservice"
0012F77C   00000000  |DefDir = NULL
0012F780   00000009  \IsShown = 9
于是在第一行上右键“反汇编窗口跟随”
00422E9C    8D4F 0C          LEA ECX,DWORD PTR DS:[EDI+C]
00422E9F    FF15 A0E24800    CALL DWORD PTR DS:[<&MSVCP80.?c_str@?$ba>; MSVCP80.?data@?$basic_string@DU?$char_traits@D@std@@V?$allocator@D@2@@std@@QBEPBDXZ
00422EA5    50               PUSH EAX
00422EA6    68 1C194900      PUSH iNode_Cl.0049191C                   ; iexplore.exe
00422EAB    68 D80C4900      PUSH iNode_Cl.00490CD8                   ; open
00422EB0    6A 00            PUSH 0
00422EB2    FF15 E8E44800    CALL DWORD PTR DS:[<&SHELL32.ShellExecut>; SHELL32.ShellExecuteA
00422EB8    8D4C24 10        LEA ECX,DWORD PTR SS:[ESP+10]    反汇编窗口跟随的焦点在这里
00422EBC    E8 CFF3FEFF      CALL iNode_Cl.00412290
00422EC1    8B7C24 14        MOV EDI,DWORD PTR SS:[ESP+14]
00422EC5    8B7424 10        MOV ESI,DWORD PTR SS:[ESP+10]
00422EC9  ^ EB 95            JMP SHORT iNode_Cl.00422E60
00422ECB    5F               POP EDI
00422ECC    5E               POP ESI
然后我将上面蓝色的部分使用NOP填充
保存文件后发现在本来弹窗这个地方程序出错死掉了。

我是刚刚接触OD的，非常菜，请问究竟哪里错了？还请大家指教，谢谢。

PS：程序太大了，上不来，是一个名为iNode的校园网客户端。

欢迎大家加我QQ434324727教我，谢谢！

[课程]FART 脱壳王！加量不加价！FART作者讲授！