帖子地址:http://www.52pojie.cn/thread-349696-1-1.html
看了第一课做的笔记
识别壳版本号
载入OD 来到OEP 直接点jmp 点几下就看到call 显示壳的版本
00585509 ? E8 1C000000 call Test_se.0058552A ; PUSH ASCII "Safengine Shielden v2.3.4.0"
ctrl+B搜索字符串
RegQueryValueExA
或者直接搜索2进制
52 65 67 51 75 65 72 79 56 61 6C 75 65 45 78 41 00
搜到的结果有2个 搜索到有call 和jmp的那个
检索一个已打开的注册表句柄中,指