用一小段代码开篇，逐渐完善中...

sub esp, 0000000c                 开12字节局部变量，用于存放FCW控制字里的值(4字节)和st(0)中的数据(8字节)
wait                                        等待FPU结果，这里不重要
fstcw [esp]                             将FCW控制字存放到局部变量, 临时保存
wait                                        等待FPU结果，这里不重要
fldcw [0050A030]                  将[50A030]中的数据装入FCW控制字
fistp qword ptr [esp+04]        将浮点寄存器st(0)中的浮点数装入局部变量(8字节)
wait                                        等待FPU结果，这里不重要
fldcw [esp]                             将前面保存的FCW控制字写回
pop ecx                                  恢复堆栈
pop eax                                  恢复堆栈， eax 为浮点数的低32位
pop edx                                  恢复堆栈,   edx  为浮点数的高32位

1、使用 PEiD 的插件 Generic OEP Finder 找到 OEP(原始入口点)：00406360。

2、使用 W32Dasm 8.93 反汇编文件，查找"00406360"发现：004195D2 E989CDFEFF jmp 00406360。

3、使用 OllyDBG 打开文件，Ctrl+B，查找特征码 E989CDFEFF，按 F2 设置断点(或者直接Ctrl+G 004195D2)。

4、F9运行至断点处，使用 OllyDBG 的 DUMP 插件进行 DUMP 即可。

运行到以上提到的断点处进行 DUMP 是因为程序运行到这里解密已经完全，但是 DUMP 不一定要断在 oep 的跳转语句上，只要程序完全解密就可以进行 DUMP(可参考 lenus 发表于 看雪论坛中的《浅谈脱壳中的 DUMP 技术》)。所以我实际操作的时候并未使用 OllyDBG ，而是运行 EXE 文件，使用 LordPE 直接针对进程修正“镜像大小”，“完整转存”。

6、使用 OllyDBG 对脱壳之后的程序进行跟踪，发现程序会检测注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\APIS32 键下 UserKey 和 UserName 的值，两个键值是否存在程序的运行流程有很大的不同，这里假设程序的注册信息是保存在注册表中的，所以在注册表中建立两个“字符值”类型的键 UserKey 和 UserName ，因为程序对 UserKey 值的长度限制为 >= 10H ，对 UserName 的长度限制为 >= 5 ，所以在给以上两项赋值时注意长度。

7、网上有一篇帖通过对字符串查找最终修改了十多处 or al, al 指令为 or al, 01即告破解(我在实际跟踪过程中也看到了这些指令，并且这些指令都添加了花指令，在看反汇编代码时要注意点)，但是我觉得对每条 or 语句逐一修改有点麻烦，程序中应该有一个公用的验证过程将 al 设为 0 导致验证过程不顺利，经过跟踪终于发现：004051C2 sete al，只需要把这一条修改为 setne al 即可使多个 or al, al 语句验证通过了。

 

启动程序看看是不是对话框已经不弹出了？而且因为注册表添加了 UserName 程序还正确的显示了 REGISTERED TO ...，哈哈，第一个脱壳破解练习成功。

 

TIPS：

·单步时，OD会在每一步代码都产生一单步异常，由OD自己处理，应该是处理指令结果，刷新OD的各个窗口，然后让程序停在下一句；若程序代码也产生了单步异常，OD 还是按是自己产生的单步异常来处理，因为它分不清是自己产生的还是程序故意产生的。可以这么说，单步异常全是给调试器用的，若程序代码主动导致的单步异常，则都是反调试的。

·(structured exception handling) 是一种处理程序异常的机制，当程序异常 (例如除零异常，非法存取异常，等等) 发生的时候，系统便会把执行位置切换到thread 的 exception handler。一些程序会透过 SetUnhandledExceptionFilter( ) 来设定 thread 的最高层异常处理 (代替 windows 提供的那一个错误信息)，再制造异常，来达到扰乱调试的效果。