由于涉及巨牛，弄不好是要推到菜市口去的，所以我尽量简单写，尽量不说清楚，大家看个意思。

1。过EXECryptor
LOVEBOOM介绍过一种方法，这里换一种。把OD用带驱动的Themida加壳，再配合看雪老大的插件，EXECryptor就可以直接调试了。

2。跟踪、DUMP
载入
01830E00 >  B8 00000000               mov eax,0
这里是伪装

0183132B    9C                        pushfd
这里是北斗

01822000    55                        push ebp
这里是乱写的,为什么会这样就不知道了.

01821BF8    E8 F7FEFFFF               call XXXXXXX.01821AF4
这里俺不认得

之后就到EXECryptor的地盘了，不忽略EXECryptor的典型异常，注意LoadLibraryA，待DLL文件加载完毕。此时溜达着看看

00401000  - FF25 14997E00             jmp dword ptr ds:[7E9914]                 ; sewl2.System::GetMem
代码已经解开，DUMP，输入表也可以抓出来了。难以理解把，此时还没有叫注册，但代码已经解开.说明是先解码,再破坏,并创建注册线程,EXECryptor的BUG。当然,一但提示注册也就挂了,有没有调试都挂,注册窗口瞬间消失,真是奇怪.

3。作弊去OEP
勤快的可以继续跟踪，慢慢到OEP。本人属于懒的要死的，所以我作弊。原程序使用里虚拟机，所以EXECryptor的OEP盗取就可以忽略了，至多也就盗一行。拿出原程序，连接器版本2。25，是D的程序。D有一个固定框架，为我们作弊提供了方便。原程序也是加了壳的，曾经是一个神话，但现在是凤凰拔毛不如鸡了。OD载入，内存段点，GetModuleHandleA，从堆栈找返回。虚拟机和VM的很像，也许是花银子买来的吧。往上看，第一个PUSH XXXXXXX JMP XXXXXXXX就是入口。对一下DUMP文件，没少，直接修复。

4。XXXXXXXX
由于DUMP的时机不同，可能会产生不一样的问题。我遇到的是重定位问题，但文件比较大，修复要好久，反复几次会死人的，所以直接加点便便。

看不懂也很正常，不用问是什么，只要知道如何过EXECryptor和小心使用EXECryptor的注册就行了。

祝平安夜愉快。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课