前言

下集预告：https://www.52xuejishu.com/forum-post/1340.html 【手把手破解掉该外挂】

这两天群内发了这样一个程序，存在这样几种现象：

1. 入口点严重代码混淆
2. 运行后设置的断点重启后被全部清除掉了
3. 在正常的程序代码中穿插着各种无意义的混淆代码，干扰分析

那么今天，我们就带着这样的目标去解决这些问题，用最真实的案例让大家学到真技术

手动脱壳

理论基础

其实方法一点都不难，我们内部视频早就讲过了，那就是：

实操

脱壳结果测试

程序正常调试，拖入时停留在入口点，也正常运行

代码混淆花指令处理

壳现在我们已经脱完了，准备开始分析程序了

我们从窗口载入的事件分析，一分析就傻眼了：全是乱的

处理方法

处理完成的效果

我们发现这里才是真正的函数尾部，已经处理完成了，非常清晰

然后我们要做的就是保存一下，下次就能拿过来直接分析了：

选中还原的代码（函数头到函数尾），保存：

然后我们调试分析一下保存后的程序：

正常运行，且代码混淆已经被我们去除，可以进行正常的分析了

当然这只是单层函数的，函数中的函数的代码混淆，大家可以进到call的内部以同样的方式去处理

总结

1.有壳不要怕，直接调试它

2.发现干扰太多，那就脱掉它

3.代码混淆花指令不用怕，轻松干掉它

练习程序下载