CodeDoctor 静态分析指令并跟踪所有跳转指令。这个功能在程序不断跳来跳去的情况下非常有用。当遇到无法追踪的指令时，它会停止分析，并将所有分析过的指令复制到指定的内存中。

CodeDoctor 静态分析指令并跟踪所有跳转指令。这个功能在程序不断跳来跳去的情况下非常有用。当遇到无法追踪的指令时，它会停止分析，并将所有分析过的指令复制到指定的内存中。

指示

特征

1. 反混淆

在反汇编窗口中选择并执行该指令。它会尝试将垃圾指令转换为清晰指令。

例子：

原始说明：

00874372 57 推送EDI

00874373 BF 352AAF6A MOV EDI,6AAF2A35

00874378 81E7 0D152A41 和EDI,412A150D

0087437E 81F7 01002A40 异或EDI,402A0001

00874384 01FB 添加EBX,EDI

00874386 5F POP EDI

反混淆后：

00874372 83C3 04 添加EBX,4

2. 反混淆-单步

该指令的原理与上一条类似，但每次只分析一条指令。

3.设置nop到最后

将代码写成这样的形式：

00874396 50 推EAX

00874397 90 无

00874398 90 无

00874399 52 推EDX

0087439A BA 3F976B00 MOV EDX,somesoft.006B973F

0087439F 90NOP

008743A0 90 无

008743A1 90NOP

转换为：

00874396 50 推EAX

00874397 52 推EDX

00874398 BA 3F976B00 MOV EDX,somesoft.006B973F

0087439D 90NOP

0087439E 90 NOP

0087439F 90NOP

008743A0 90 无

008743A1 90NOP

限制：会跳出所有跳转指令和调用指令

4. 取消/重新执行

取消或再次执行上一条指令

5.搜索跳转功能

它静态分析指令并跟踪所有跳转指令。这个功能在程序不断跳来跳去的情况下非常有用。当遇到无法追踪的指令时，它会停止分析，并将所有分析过的指令复制到指定的内存中。

在设置中设置这些参数：

逐步执行所有呼叫- 如果设置，它将逐步执行所有呼叫。否则它会跟踪他们。

单步执行jcc-dtto(?)

反混淆- 当遇到Jcc、RET、JMP、CALL 指令时，会对指令进行反混淆。当程序有多个分支时非常有用。

例子：

转换前：

00874389 /EB 05 JMP 短somesoft.00874390

0087438B |43 公司EBX

0087438C |41 INC ECX

0087438D |42 INC EDX

0087438E |EB 07 JMP 短somesoft.00874397

00874390 \B8 07000000 MOV EAX,7

00874395 ^ EB F4 JMP 短somesoft.0087438B

00874397 C3 RET

转换后：

003B0000 B8 07000000 MOV EAX,7

003B0005 43 公司EBX

003B0006 41 公司ECX

003B0007 42 公司EDX

003B0008 C3 RET

6. 重建资源并重新安排

该功能在解包时有一些限制。它从磁盘打开正在调试的文件。然后它找到所有资源并将它们重建为一个节（目前它将资源重建为exe中的原始节）。然后它会重新排列文件并以新名称保存它们。

这个功能什么时候有用？例如，删除apack/asprotect 或其他一些shell 后。这些shell 从原始部分窃取一些资源并将它们放入自己的部分中。这会增加文件大小并阻止您删除压缩部分。同时也防止这些资源被一些资源黑客软件看到。

我确信有比这个插件更好的工具，但集成它有时会非常方便。

7.AsProtect脱壳

该功能可以删除asprotect加壳的文件并进行修复，导出asprotect.dll，并将信息输出到txt文件中。当此功能失败时，请将目标文件提交给我。

限制：

1.无法查找并修复SDK 1.x版本功能（需要手动查找）

这里有两种情况。一种是在OEP 之前调用的函数。它们执行一系列初始化函数。如果不执行它们，程序可能会失败。找到它们并执行它们：-)

第二个在OEP之后执行，通过特殊参数隐藏在GetprocAddress后面，这些函数AsProtect将它们重定向到自己的代码。您需要手动分析这些代码。

2.在2.30-2.51中，窃取的方式有两种——一种是PolyOEP，另一种是虚拟化。此功能只能修复前者。

3.找不到crc检查或shell检查。但此功能会阻止一种类型的shell 检查：在跳转到API 的指令中查找E8。

4. 它不会解密加密的部分或部分。

5. 它不会找到序列号、修补过的试用版等。

6. 若有附加数据，拆封后可能会损坏。

错误：

它在某些特定的1.10版本下不起作用，我会在有时间时修复它。

防范措施

删除受Asprotect 2.X 保护的文件时，您可能需要aspr_ide.dll。从aspack.com 获取它们并根据需要进行修改。

文件描述：

CodeDoctor.dll主程序