0066fd13 5f pop edi
用lordpe打开再看一下,这里的代码还是加密过的,再次做重复工作,发现这里有机可乘:
006734f6 61 popad
006734f7 c3 retn
006734f8 8105 00000000 0>add dword ptr ds:[0],340000
这里的代码用lordpe看一下,没错了,这里的代码没有加密。用hex编辑器随便写点东西运行一下,发现没有问题,这样就说明程序没有crc检测。分析完毕,到这里我们要的东西全部有了,同样开始动手,写代码。代码是非常之简单的,和这篇文章一样的简单:-),因此,我不写注释了哦。
patch代码如下:
