我使用的工具为OD,刚刚接触这个软件
载入程序后加入bp ShellExecuteA断点
程序运行后在弹窗的前一刻停在
763D7078 > 8BFF MOV EDI,EDI
763D707A 55 PUSH EBP
763D707B 8BEC MOV EBP,ESP
763D707D 83EC 40 SUB ESP,40
763D7080 A1 ECAF5576 MOV EAX,DWORD PTR DS:[7655AFEC]
763D7085 33C5 XOR EAX,EBP
在右下角可以看到下面
0012F768 00422EB8 /CALL 到 ShellExecuteA
0012F76C 00000000 |hWnd = NULL
0012F770 00490CD8 |Operation = "open"
0012F774 0049191C |FileName = "IEXPLORE.EXE"
0012F778 0335B200 |Parameters = "http://cams.gdut.edu.cn/selfservice"
0012F77C 00000000 |DefDir = NULL
0012F780 00000009 \IsShown = 9
于是在第一行上右键“反汇编窗口跟随”
00422E9C 8D4F 0C LEA ECX,DWORD PTR DS:[EDI+C]
00422E9F FF15 A0E24800 CALL DWORD PTR DS:[<&MSVCP80.?c_str@?$ba>; MSVCP80.?data@?$basic_string@DU?$char_traits@D@std@@V?$allocator@D@2@@std@@QBEPBDXZ
00422EA5 50 PUSH EAX
00422EA6 68 1C194900 PUSH iNode_Cl.0049191C ; iexplore.exe
00422EAB 68 D80C4900 PUSH iNode_Cl.00490CD8 ; open
00422EB0 6A 00 PUSH 0
00422EB2 FF15 E8E44800 CALL DWORD PTR DS:[<&SHELL32.ShellExecut>; SHELL32.ShellExecuteA
00422EB8 8D4C24 10 LEA ECX,DWORD PTR SS:[ESP+10]
反汇编窗口跟随的焦点在这里
00422EBC E8 CFF3FEFF CALL iNode_Cl.00412290
00422EC1 8B7C24 14 MOV EDI,DWORD PTR SS:[ESP+14]
00422EC5 8B7424 10 MOV ESI,DWORD PTR SS:[ESP+10]
00422EC9 ^ EB 95 JMP SHORT iNode_Cl.00422E60
00422ECB 5F POP EDI
00422ECC 5E POP ESI
然后我将上面蓝色的部分使用NOP填充
保存文件后发现在本来弹窗这个地方程序出错死掉了。
我是刚刚接触OD的,非常菜,请问究竟哪里错了?还请大家指教,谢谢。
PS:程序太大了,上不来,是一个名为iNode的校园网客户端。
欢迎大家加我QQ434324727教我,谢谢!
[课程]FART 脱壳王!加量不加价!FART作者讲授!