反编译EXE加上一个运作时的信息框

反编译EXE加上一个运作时的信息框

近期有一个要改动PE文档的要求，就先从EXE文档着手吧，我是入门一个小时罢了，但是以前触碰过一点选编而已，本文算作个DEMO，关键的构思是将其反编译获得汇编代码后，随后手动式改动他的逻辑性最先自动跳转到弹窗地区再自动跳转回家去实行原先的编码，有关的专用工具有ollydbg，及其要改动的一个xp系统软件内置的扫雷软件，也有参照的文章内容，都是会在文尾得出。

叙述

最先准备好要采用的OD专用工具和排雷这一手机软件。

应用OD将排雷导进以后，全自动精准定位到通道点。

以后挑选前2已然其Ctrl C拷贝，主要是为了更好地空出去充足的部位使我们进行命令的改动。

随后回到到OD，大家必须寻找HEX数据信息是00的地区，一般也就是尾端部位存有的空缺部位，留意我们都是不可以插入一些命令的，只有飞过去实行了大家要想的编码以后再跳回来实行源代码，我们可以应用右键-搜索-二进制字符串数组，多键入好多个0搜索网页就可以，由于在排雷中前面也是有一堆00数据信息段，我们可以应用Ctrl L，持续检索下一个。

大家精准定位到尾端的00部位后，大家多挑选一些行，选定几十行，右键-编写-应用00添充。

如今大家随意空两行，我是在01004a65这一详细地址逐渐改动，能够立即Ctrl G，精准定位到这一部位。

大家选中这一部位后，逐渐打一个空格符，试着改动一下汇编代码，填写PUSH 0。

以后大家再占有一下部位，填好一下以下的编码，这一01004aB5就是我随便写的，仅仅为了更好地占一个部位。

然后大家必须寻找弹出窗口的详细地址，右键-搜索-名字，在弹出来的对话框点一下名字，使他排一下序，大家寻找&USER32.MessageBoxW，以后右键-拷贝到剪贴板-详细地址。

以后大家精准定位到01004a73这一部位，填写CALL DWORD PTR DS:[010010B8]，在DS:[010010B8]中的详细地址便是刚刚复制的详细地址。

那样弹出来信息框的一部分就完成了，四个push加一个call便是弹信息框的，正中间的2个push第一个便是传文章标题第二个便是传內容的，如今大家依然再写二行句子开展团块，这主要是为了更好地后面运行逻辑性层面用，也就是为了更好地最开始的情况下大家拷贝的运作时精准定位的那二行应用。

以后大家再空出去两行编码，在01004a91详细地址上右键-编写-二进制编写。

在UNICODE地区填写Title，随后储存。

一样空两行部位，在01004aE3加上一个Hello World。

以后大家返回01004a67，在这里逐渐加上选编，双击鼠标或是按空格符都能够，在01004a67位置修改为PUSH 01004a91，以后然后改动，在下一个部位也就是01004A6C改动为PUSH 01004a9F，也就是将刚刚2个加上的字符串数组置放于这里引入。

随后大家改动运行的逻辑性，点一下右侧的EIP精准定位到通道部位。

在最开始的情况下大家挑选了前2行部位的编码开展了拷贝，如今大家一样选定前2行，随后右键-编写-用NOP添充。

随后在第一个部位也就是01004a65，填写JMP 01004a65，也就是大家刚刚寻找的编写过的00段的第一个部位。

随后大家再返回01004a65，从01004a79逐渐依照次序将原先的2行选编添充进来，便是在最开始的情况下大家拷贝到文本文档的编码，发生了好几个nop得话大家就针对要编写的从01004a79逐渐再次右键-编写-用00添充，随后再然后填好，留意最终大家还有一个jmp跳回的实际操作，也就是在图中的nop后的第一条句子详细地址即01003E28。

到这基本上就差不多了，构思就是以通道逐渐实行我们自己的编码，随后实行完后再自动跳转回来执行原先的编码。以后大家右键-编写-拷贝全部改动到可执行程序。

右键-储存文档，选是，就可以储存，留意这里或是要另存一个文件夹名称，用于和原先的有一定的区别。

储存之后，运作该文件就可以见到实际效果。

参照

http://www.downcc.com/soft/24420.html
https://www.xiazaiba.com/html/3979.html
https://www.52pojie.cn/thread-217068-1-1.html