ximo基础脱壳教程12：自校验的去除方法

下断
bp CreateFileA

首先我们查一下要分析的程序的壳

 

 发现是一个AsPack壳，我们用OD载入

 

 发现一条pushad，那我们直接使用esp定律法，然后我们使用OD插件进行脱壳，这里就不在演示了

我们打开脱完壳之后的程序，发现报错

 

 我们用LordPE和IR修复后也出现这样的问题，这里就是程序自校验的问题，我们不要关闭正在分析的源程序，然后用OD载入我们脱完壳的程序，两边都在command中输入bp CreateFileA

然后同时运行，

 

 发现运行到了同一地址，再使用Alt+F9执行到用户代码

然后我们开始同时分析这两个程序

 

 着重注意两个程序里的条件跳转是否执行

 

 我们跟到一个地方发现出现了不同的情况，脱完壳的程序发生了跳转，而没有脱壳的程序没有跳转，这里就是报错的原因，这里我们只需要将脱完壳的程序不发生跳转即可，我们可以将这句跳转改为nop，或者修改标志位，或者分析让他跳转的原因，然后阻止他跳转就可以，这里使用nop

 

 然后我们保存文件即可

 

 发现可以正常运行