我们使用DIE工具,发现程序是加了壳的。 先进行脱壳操作,我们使用OD附加进程。 使用ESP定律进行脱壳。 F9执行,发现断在ntdll系统领空里。 继续执行。多次执行之后。 到达OEP处。 之后,我们使用OllyDump脱壳工具,进行脱壳。 脱壳成功,程序正常运行。 我们字符串搜索搜到关键位置,往上分析。 观察必须是local.6这个局部变量不能为0,程序才可以通过验证。而local.6是什么值由这个关键call决定。 进入call之后,我们分析,如果输入的字符串等于内存里的这个字符串,程序既可以通过验证。 结果: