IDA大法中有这个功能:Options - Generals

就可以看到字节码了

根据书中介绍,这就是E8字节的花指令大法,总共用了4次,我们都patch一下保存


成功把红色的“错误”都去掉之后,来分析逻辑

代码中多次出现jnz short loc_40105E

所以很明显这里是字符串匹配失败的地方,提示为:

在OD里调试一发设置个参数跑一下就有了

在401017处取的是字符串第一个字符,与0x70作比较


在401027处,取第三个字符

所以最后的结果是“pdq”


在IDA里其实也是完全可以看出来的

C和D可以在IDA中对代码数据和指令进行切换


根据前面两个判断,401042处明显是指令