VB程序去nag

VB程序去nag

我遇到的vb的nag情况是程序一开始就跳出一个nag，汇编代码如下

push AfKayAs_.004067D4
call <jmp.&MSVBVM50.#100>

意思是push 一段内存数据，然后直接call出了nag。并且进入call之后是在系统领空，所以要看push内存里面的东西。

在od中右键push AfKayAs_.00406704->在数据窗口中跟随->立即数

法1 -- 寻找Timer

如果这个nag设置了一个计时器(也就是这个nag要等一段时间才能消失)，可以在数据框右键->查找->二进制字符串

输入Timer(这个是设置计时器会有的标志)，在这个Timer后面的字节中有个03的标志位，紧跟着设置的延时，将这个延时的时间改小，就可以让nag一闪而过,(注意是大端序还是小端序)，这个时间的单位是毫秒

或者另一种找Timer的方法是，看push的内存的地址是哪里，比如上面我遇到的情况，可以直接拉到地址为0x4067D4的地方，往上找就可以看到相应的代码(这个方法没有测试过，仅在此例子)

Ep:

CrackMe 03

这个是小端序的程序，双击数据将581b改成1000就达到了去nag的效果

法2: -- 4c大法(万能)

4c大法也就是窗口执行顺序的调整

把nag的窗口调后，从而达到去nag的方法

跳转数据窗口后，在数据窗口中中，画下划线的都是od分析出来的内存地址，也就是可以右键跳转查看数据。

窗体的数据在第二个内存地址跳转处，也就是第二条下划线选中那四个字节，右键->数据窗口中跟随。之后可以看到

启动标志10代表先启动，改换标志位，可以达到更换启动的顺序。这个位置一般在每个窗口数据块开始偏移的第41个字节(