使用GetFileSize斷點來破解文件大小自校驗
脫殼完一個程序後,若發現打不開,可能是因爲程序啓動時會自校驗文件大小。
當發現大小改變後,就無法打開(其實是打開後發現大小不對就自動關閉了,所以體現爲打開沒反應)。
這裏以文件大小自校驗爲例:
-
把脫殼後的程序OD打開,設置API斷點 → 文件 →
GetFileSize斷點 -
F9運行,在右下角堆棧窗口中選擇CALL 到 GetFileSize 來自 XXX,右鍵在反彙編窗口中跟隨,來到調用位置 -
在調用位置下斷點,並刪除之前的系統API斷點,
F8一步步調試 -
在
cmp比較 兩個操作數大小的時候,nop掉下面的跳轉(右鍵 → 二進制 → 用NOP填充)