某DNF加壳FZ的分析方法教程

嘻嘻，我又来了，这次我的技术提高了这么一点点，感谢恒大入门的教程


话不多说开始教程，


第一步OD附加FZ，选择是



第二步：
我们发现有奇怪的字符代码怎么办？我们选中一行字符点分析代码


分享代码后我们仍然发现还是有这种字符怎么办？我们右键，从模块中删除分析



删除分析后我们发现我们会跳转到好多带有字符的地址，但这些地址不是我们想要的


第三步：我们来到40100地址，我们发现这不是我们想要的


然后我们F5让软件跑起来，我们发现我们里面的代码变了，40100  xor  eax，eax这就是我们想要的


我们开启强制搜索，然后搜索ASCII，我们发现我们可以搜索到关键字符了，那么就有人会问，最上面不是有个发现非法工具吗？运行的时候怎么没弹出来，其实我们刚开始发现的字符就是检测OD的模块，我们把它删除了所以就不会提示了，


然后单击里面的ASCII字符eno，然后把eno向上的第2处的JNZ改成JMP




然后我们再搜索ASCII字符找关键字，我们发现有一个扣点成功


然后我们单击进去上扣点上面的JNZ汇编成JMP

然后我们来到FF25把闪退清除掉，我们倒着找闪退，我们选择最下面的JMP

然后retn到Push  ebp 有字串的我们否定它不是闪退

然后我们到倒数第二个JMP，retn到Push  ebp  还是有int3的，我们依旧否定它不是闪退

然后我们到倒数第三个JMP，那么亮点来了，retn到Push  ebp没有一个int3，这个就是闪退，然后我们右键吧Push  ebp汇编成retn


第四步：然后右键复制到可执行文件，发现无法复制怎么办？我们用一个补丁程序，给他打补丁，



然后我们把我们刚才修改的复制到这里

第一次修改数据:   0040742E   /EB 7A           jmp short 麒麟黄金.004074AA
第二次修改数据： 00409907   /E9 7E000000     jmp 麒麟黄金.0040998A
第三次修改数据： 0042E760    C3              retn



那个提示框是防封的不用关闭


逆向成功的：链接: http://pan.baidu.com/s/1kVPXA0R
OD以及XH补丁：链接: http://pan.baidu.com/s/1hrGue0G
云盘密码回复可见，        那个，，，教程我写了一个多小时能不能评下分，谢谢

游客，如果您要查看本帖隐藏内容请回复

看看学习学习

楼主的图文教程不错，支持一个。

谢谢楼主分享了

谢谢分享  虽然我早就会了

小白的烦恼 发表于 2017-3-1 23:57
谢谢分享  虽然我早就会了

{:5_118:}

感谢分享，跟着你我也提高了一点点

看看是什么，

我想知道的是  这个应该是可可验证吧？ 现在还能用eno来逆向么。。。。

楼主能不能提供下 没逆向好的啊