从跟踪分析,这个se壳是在第一次验证机器码后,若机器码错误则直接弹出本机的机器码界面。
如机器码正确,则从文件夹下再次启动同名exe文件,准备第二次验证机器码。在进程中看到有2个同名的进程在内存里。
如第二次验证机器码正确,则弹出软件界面。若机器码错误,则在二次启动的exe中弹出本机的机器码界面。
作者加这个壳应该熟悉se壳,第一次可以用OD加载patch机器码可以通过,怎样能在OD附加第二次才是patch的关键,否则就弹出机器码界面。
呵呵,有些“躲过初一,看看能躲过十五不?”。
用大白工具对于二次拦截有些吃力,琢磨中。。。。。。
在虚拟机的XP系统里,我练习了OD找机器码,可是到最后,F9一次,被断下,但是在堆栈窗口中找不到 UNICODE "\\.\%s",是什么原因呀?