首先就是查壳了

图1

这一看是VMP壳，差点让我放出最强插件“回收站”了

首先第一步进入程序领空(由于所有人都知道，我就不解释了)

直接Ctrl+F搜索push 20(第一次没有搜到，就Ctrl+L查找下一个。登陆特征码)

图2

直接段首修改成mov eax,1 mov esp,ebp pop ebp retn如下图：

图3

第二步、直接Ctrl+S搜索sub esp,84(第一次没有搜到，就Ctrl+L查找下一个。合法时间特征码)

段首修改成 mov eax,file:///C:\Users\Administrator\AppData\Roaming\Tencent\Users\1152696239\QQ\WinTemp\RichOle\H(HK9A(2888DT1J~CF`Z`@8.png0x0040845E mov esp,ebp pop ebp retn 如下图

图4

接下来很多人要问了。0040845E是什么，这个就是你找的空白地址，右键-二进制-编辑-ACSII为99999，如下图

图5

第三步、Ctrl+S搜索sub esp,88(第一次没有搜到，就Ctrl+L查找下一个。合法时间特征码)

图6

段首修改成 leave retn 如下图

图7

第四步、接下来就是算法了，算法没有弄好就会导致卡登陆，正常搜索应该是sub esp,98，但是如果这样修改下来就会卡登陆，因此我们Ctrl+S搜索 sub esp,0xA8，如下图

图8

我们从箭头哪里，也就是光标的上一行&