鱼C论坛

 找回密码
 立即注册
查看: 1941|回复: 0

解密调试笔记4

[复制链接]
发表于 2020-4-20 01:03:03 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能^_^

您需要 登录 才可以下载或查看,没有账号?立即注册

x
本帖最后由 项羽姓秦 于 2020-4-20 10:14 编辑

OD使用教程4

去除NAG窗口

nag本意是凡人的意思,nag窗口是软件设计者用来时不时提醒用户购买正版的警告窗口。

软件设计者可能认为当用户忍受不了试用版中的这些烦人的窗口时,就会考虑购买正式版本。


PE结构

PE文件结构有一个非常优势的的地方就是它在硬盘上的存储结构跟载入内存时候的存储结构是

一样的。

所以,只要你了解如何在PE文件结构里边找出某样你想要的东西,那么当这个文件映射到内存

后,你也可以很容易的找到它(因为OD是动态调试,程序需要先载入内存)。

内存中的一个模块代表一个可执行文件进程所需要的所有代码、数据、资源的结合。

PE文件结构:
- DOS header
- DOS stub
- PE File Hedaser
- Image Opetional Header
- Section Table
- Data Directories
- Sections

No picture you say a J8...


小结

GetModuleHandleA这个API函数用于获取程序的ImageBase(基址)

这个程序的MessageBox的OwnerHandle(父窗口句柄)为0(NULL),我们可以将这个值为一个

不存在的值。

名词注释:
- VA(VirtualAddress,虚拟地址)
- RVA(RelativeVirtualAddress,相对虚拟地址)
- EP(EntryPoint,程序入口点)


个人总结:

1.在单步执行程序到JE的时候,可以直接将Z的值改为1即可跳转过去,同样也可以将JE改为JMP

跳转。
2.在单步执行程序到call Register.00401052的时候,如果不想见到那个白色窗口,也可以将

此行改为NOP即可。

备注:知其然而不知其所以然,还没有理解原理,只有大概明白。

想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|鱼C工作室 ( 粤ICP备18085999号-1 | 粤公网安备 44051102000585号)

GMT+8, 2024-11-16 14:40

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表