我们以crackme第三题为例:
双击打开后,会出现这个NAG。
我们放入die,查看信息:
发现是VB的程序。
载入OB:
这里是一个十分明显的vb程序的特点:一个push一个call,我们查看这个0x004067D4的地址:
然后我们往后数0x4C个数字(ctrl+G,输入004067D4+4C):
发现了一个地址,然后我们继续转跳到这个地址(0x00406868):
到了这里,我们可以看到两个相似的数据块 :
而这两个数据库中,有两个标志区:
该标志指定了每块代码(也就是程序启动后要加载的窗体)出现的顺序,先加载00,也就是我们要去的NAG窗口,再加载01,是主窗口。所以这里我们将各两个标志的值颠倒一下,01改00,00改01,二进制修改,保存文件,运行测试,NAG窗口去除了。
然后打开就可以看到NAG不见了。