去NGA之VB

Posted 2020-12-14 lex-shoukaku

我们以crackme第三题为例：

双击打开后，会出现这个NAG。

我们放入die，查看信息：

发现是VB的程序。

载入OB：

这里是一个十分明显的vb程序的特点：一个push一个call，我们查看这个0x004067D4的地址：

然后我们往后数0x4C个数字（ctrl+G，输入004067D4+4C）：

发现了一个地址，然后我们继续转跳到这个地址（0x00406868）：

到了这里，我们可以看到两个相似的数据块 ：

而这两个数据库中，有两个标志区：

该标志指定了每块代码（也就是程序启动后要加载的窗体）出现的顺序，先加载00，也就是我们要去的NAG窗口，再加载01，是主窗口。所以这里我们将各两个标志的值颠倒一下，01改00，00改01，二进制修改，保存文件，运行测试，NAG窗口去除了。

然后打开就可以看到NAG不见了。