无key脱arm4.4单进程
用arm4.4汉化版，本文只讨论key，加壳选项只选运行时需要密钥，输入密钥iw9LWgs4FPbkw8JVhq2E，其他选项全不选。
修改版od载入，shift+F9运行，弹出提示，任意输入key，在od命令行下断：bp strlen
点确定，中断后alt+F9返回，
00A149E4     E8 35060100             call 00A2501E                           
00A149E9     85C0                    test eax,eax                      =》返回这里
00A149EB     59                      pop ecx
00A149EC     74 1A                   je short 00A14A08
00A149EE     8B0D E01EA300           mov ecx,dword ptr ds:[A31EE0]
00A149F4     8D85 00FFFFFF           lea eax,dword ptr ss:[ebp-100]
00A149FA     50                      push eax
00A149FB     E8 7D77FEFF             call 009FC17D
00A14A00     84C0                    test al,al                       ＝》测试标志位，修改al＝1
00A14A02     74 04                   je short 00A14A08
00A14A04     6A 01                   push 1
00A14A06     EB 4C                   jmp short 00A14A54               ＝》跳走吧
删除断点，设置断点：BP GetModuleHandleA，shift+F9运行，中断后取消断点，alt+M下内存断点。
如下：
内存映射，项目 50
地址=01001000
大小=00016000 (90112.)
宿主=350s     01000000
区段=.text
类型=Imag 01001002
访问=R
初始访问=RWE
shift+F9运行，中断后到OEP，1次不到就2次、3次。
0100E3B7     6A 60        push 60
0100E3B9     68 E01C0001  push 350s.01001CE0
0100E3BE     E8 31120000  call 350s.0100F5F4
0100E3C3     BF 94000000  mov edi,94
0100E3C8     8BC7         mov eax,edi
0100E3CA     E8 81130000  call 350s.0100F750
0100E3CF     8965 E8      mov dword ptr ss:[ebp-18],esp
0100E3D2     8BF4         mov esi,esp
0100E3D4     893E         mov dword ptr ds:[esi],edi
0100E3D6     56           push esi
0100E3D7     FF15 AC10000>call dword ptr ds:[10010AC]              ; kernel32.GetVersionExA
0100E3DD     8B4E 10      mov ecx,dword ptr ds:[esi+10]
dump和修复略。
加壳程序见附件。附件:350s.rar

[课程]Android-CTF解题方法汇总！