小甲鱼 OllyDbg 视频教程：https://www.bilibili.com/video/av6889190?p=21

程序下载地址：https://pan.baidu.com/s/1A4-BDgbdUgy-cmI4IMMzYw    提取码：jsdv

 

 

开始，按照惯例，首先用 PEiD 打开，看下是什么语言编写的程序：

可以看到是 VC6.0 。载入程序，然后运行程序，当出现 neg 窗口时，暂停程序，然后查看调用堆栈：

对应代码位置打上断点：

重新载入程序，运行，发现程序断点到断点位置，按 F9 运行，neg 窗口出现，等一会消失，发现程序运行到断点位置的下一行，说明断点位置正确，这个就是出现 neg 窗口的位置。

现在既然找到断点位置，常规做法是 直接 nop 掉这个call 调用，现在可以 nop掉保存程序，然后运行，发现不是想要的结果，说明不能直接 nop。

再重新载入原来的程序，按 F9 发现程序的三个窗口都是通过这个 call 调用来显示的，然后往上看，发现一个 je 跳转，这个可以控制 call 调用是不是显示窗口，所以就相当于一个 if else ，这里要显示最后一个窗口 所以就相当于等于 2 时跳转，

可以找一块程序自身不用的内存空间来写入内联补丁。点击 m ，查看程序的 PE 映射：

双击 data 段，进入 data 段，找到没有使用位置，下一个硬件写入断点，测试要是用的位置在程序运行时有没有使用，如果在程序运行 的时候使用的那个位置，就按上面方法再找一个位置。然后继续测试，直到找到程序在运行时不会使用的位置：

下完 硬件写入断点后，重新载入程序，测试要写入数据的位置是否可用（ 也就是程序在运行的时候不会往这个位置写入数据 ），这个示例中程序不会写入数据，这个位置可用。

找到要写入 内联补丁的位置：

在要写入的位置添加书签，方便通过 右键 -> 书签 直接跳转：

在 je 位置添加书签：

以前是通过手动跳来跳去直接改汇编代码，现在可以通过插件 NonaWrite 来写 内联补丁的 汇编代码：

开始写 内联补丁的汇编代码：

完成后，内联汇编 代码：

现在开始 改 je 跳转：

保存所有修改。然后运行修改后的程序，发现已经成功，只有 第二个 neg 窗口：

原程序运行后有3 个 neg 窗口

至此，逆向成功。

可以载入修改后的程序，按 F8 单步调试追踪修改后的程序执行流程