目标程序是VB写的,记得以前有一个巧方法到达OEP,但是忘记了,还是按部就班吧
单步跟踪到这个地方:
如果想要在xor ecx,ecx处F4的话程序会跑飞,在这里
在这里可以注意到00404BEE处的je是一个很大的跳转,而其他地方都走过发现全部都不会到OEP,所以就是他了
00404BE7 AC lods byte ptr [esi]
00404BE8 84C0 test al, al
00404BEA ^ 75 FB jnz short 00404BE7
00404BEC FE0E dec byte ptr [esi]
00404BEE ^ 74 F0 je short 00404BE0
00404BF0 79 05 jns short 00404BF7
00404BF2 46 inc esi
00404BF3 AD lods dword ptr [esi]
00404BF4 50 push eax
00404BF5 EB 09 jmp short 00404C00
00404BF7 FE0E dec byte ptr [esi]
00404BF9 - 0F84 61C5FFFF je 00401160
00404BFF 56 push esi
00404C00 55 push ebp
00404C01 FF53 04