m0_46296905的博客

来看看AfKayAs.1的进阶版exeinfo没显示加壳，但OD中打开却说有压缩代码，可能是作者自己设计的压缩壳字符串可查找，双击定位到you get it参考浮点数不能使用 CMP 指令进行比较，因为后者是通过整数减法来执行比较的。取而代之，必须使用 FCOM 指令。FCOM（比较浮点数）指令将其源操作数与 ST(0) 进行比较。源操作数可以为内存操作数或 FPU 寄存器。其语法如下表所示：指令说明FCOM比较 ST(0) 与 ST(1)FCOM m32fp比

https://www.cnblogs.com/bbdxf/p/3788289.htmlhttps://www.52pojie.cn/thread-610580-1-1.htmlhttps://blog.youkuaiyun.com/SilverMagic/article/details/40895687https://blog.youkuaiyun.com/levones/article/details/89392528本篇博客采用的测试数据如下：Name:1234567890Codice:098765432.

是个VB写的程序，输入错误的时候会显示You Get Wrong. Try AgainOD中打开，字符串没有被隐藏，双击跟踪you get it双击跟踪之后向上翻，有个jge条件跳转（ZF=1），上面那个test修改标志位，说明si里面的值是关键，si里面的值不能是0。向上翻，看看esi里面的值被修改的地方，找到几处，发现了一个_vbaStrCmp字符串比较函数，返回值放到esi里面，然后先用neg取相反数，然后自增，再取相反数。继续向上翻，对VB的API不是很熟悉，没找到文本框输入函数在哪

还是跟前一个版本的一样，都是要藏按钮。分析工具：IDRDelphiDecompiler（DeDe）IDAOllyDbg本篇博客采用的测试数据如下：Name:1234567890Codice:098765432老样子，DeDe打开，有个AgainClick，难不成隐藏了按钮？确实显示这个程序还有一个按钮。然后IDR辅助分析RegisterzClickOD中定位，结合IDR给的注释，单步分析，可以看到执行完4429A8之后的返回值决定了是否发生跳转分析并单步测试可

CM-1在ollydbg中打开，打算先从字符串入手，查找看有无提示输入正确的字符串，发现不能精准定位。显然这个GetWindowTextA引人注目，附msdn文档双击进入可以定位调用该函数的位置，如下：可以得到的有用信息首先是文本框内最大可输入40个字符串，字符串存入偏移地址为4033C4的内存单元中，同时我们可以意外发现找到了关于输入正确的提示，它通过调用MessageBoxA函数（弹出对话框）显示给用户。我们不难看出此函数的执行与否取决于“cmp eax,esi”指令，通过它改变标志寄存器

（一）分析运行一下这个程序发现，这个程序没有确认按钮，推测是实时获取用户输入，然后在文本框中显示输入是否正确。OD中打开，自动定位到了主函数。GetModuleHandle获取窗口句柄，ExitProcess函数是退出程序的进程，中间那个401023函数就是程序运行的主体部分，F7步入，看到一些加载图标，加载光标，注册窗口的api函数等等，直到ShowWindow函数，才显示出窗口，前面一直是在进行一些窗口的初始化操作后面一个大循环，在循环里面看到GetMessage函数，这个函数可以实现获