解密调试笔记4
本帖最后由 项羽姓秦 于 2020-4-20 10:14 编辑OD使用教程4
去除NAG窗口
nag本意是凡人的意思,nag窗口是软件设计者用来时不时提醒用户购买正版的警告窗口。
软件设计者可能认为当用户忍受不了试用版中的这些烦人的窗口时,就会考虑购买正式版本。
PE结构
PE文件结构有一个非常优势的的地方就是它在硬盘上的存储结构跟载入内存时候的存储结构是
一样的。
所以,只要你了解如何在PE文件结构里边找出某样你想要的东西,那么当这个文件映射到内存
后,你也可以很容易的找到它(因为OD是动态调试,程序需要先载入内存)。
内存中的一个模块代表一个可执行文件进程所需要的所有代码、数据、资源的结合。
PE文件结构:
- DOS header
- DOS stub
- PE File Hedaser
- Image Opetional Header
- Section Table
- Data Directories
- Sections
No picture you say a J8...
小结
GetModuleHandleA这个API函数用于获取程序的ImageBase(基址)
这个程序的MessageBox的OwnerHandle(父窗口句柄)为0(NULL),我们可以将这个值为一个
不存在的值。
名词注释:
- VA(VirtualAddress,虚拟地址)
- RVA(RelativeVirtualAddress,相对虚拟地址)
- EP(EntryPoint,程序入口点)
个人总结:
1.在单步执行程序到JE的时候,可以直接将Z的值改为1即可跳转过去,同样也可以将JE改为JMP
跳转。
2.在单步执行程序到call Register.00401052的时候,如果不想见到那个白色窗口,也可以将
此行改为NOP即可。
备注:知其然而不知其所以然,还没有理解原理,只有大概明白。
页:
[1]