从同事花了10个Q币找人给他写了一个我们公司网站的微博系统的加粉小工具，看他用的蛮hi的，于是我很好奇，要过来想看看怎么写的，可是竟然还是机器码注册的，悲催的就只能他那一台电脑用。
我用pied查壳显示为：Microsoft Visual C# / Basic .NET [Overlay] 看样子应该是没有加壳的，从软件的图标看，使用的应该是VS开发工具，因为是微软VS默认的程序头标 三个小色块 呵呵，估计是用C#写的，于是就想用reflector导出源码来研究下，悲催的reflector根本打不开，但是用reflector打别的软件都可以，打开显示叹号，可是就是这个小软件死活不出现。
索性直接用OD来调试下试试，打开直接停到这里：(感觉不像文件头)

是不是加了伪装的Microsoft Visual C# / Basic .NET [Overlay] 壳？
如果说没加壳，那么通过OD查找字符串也应该可以查到，运行前提示“你未注册，请注册”，可是查不到……！？
----------------------------------------------
75DFD36F    C9              leave
75DFD370    C2 1000         retn    10
75DFD373    8945 C0         mov     dword ptr [ebp-40], eax
75DFD376  ^ EB ED           jmp     short 75DFD365
75DFD378    90              nop
75DFD379    90              nop
75DFD37A    90              nop
75DFD37B    90              nop
75DFD37C    90              nop
75DFD37D >  FF15 6013DF75   call    dword ptr [<&ntdll.NtYieldExecut>; ntdll.ZwYieldExecution
75DFD383    33C9            xor     ecx, ecx
75DFD385    3D 24000040     cmp     eax, 40000024
75DFD38A    0F95C1          setne   cl
75DFD38D    8BC1            mov     eax, ecx
75DFD38F    C3              retn
75DFD390    6A 57           push    57
75DFD392    E8 30A1FFFF     call    75DF74C7
75DFD397    33C0            xor     eax, eax
75DFD399  ^ E9 81DBFFFF     jmp     75DFAF1F
75DFD39E    834D E8 FF      or      dword ptr [ebp-18], FFFFFFFF
75DFD3A2    E9 34690000     jmp     75E03CDB
75DFD3A7    8945 14         mov     dword ptr [ebp+14], eax
75DFD3AA    E9 A6620000     jmp     75E03655
75DFD3AF    33C0            xor     eax, eax
75DFD3B1  ^ E9 8494FFFF     jmp     75DF683A
75DFD3B6    C745 08 0200000>mov     dword ptr [ebp+8], 2
75DFD3BD  ^ E9 69B7FFFF     jmp     75DF8B2B

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！