|
[原创][五一特别礼物] 著名的反编译 ida Pro 6.5 Plus 来了
不行的,有问题的,F5反编译极容易崩溃(6.1Pro及6.4Demo中不会),要是这么简单,6.5Demo我早就发布了。而且你也没修正插件调用IDA.WLL的qstrncpy函数时传空字符串参数会导致崩溃的问题。 《IDA Demo6.5破解笔记 》 破解单步次数限制(jl改为jmp) .text:00491D26 cmp eax, 1F0h .text:00491D2B jl short loc_491D41 .text:00491D2D push offset aThankYouForUsi 启动时弹出About对话框(全部nop) .text:004107A1 push edx .text:004107A2 call sub_548120 .text:004107A7 add esp, 4 过一段时间显示欢迎使用IDA demo版(004130C0处改为retn) .text:004130C0 8B 0D 98 F9 6A 00 mov ecx, dword_6AF998 .text:004130C6 FF 25 7C B8 5B 00 jmp ds:?exec@QDialog@QT@@QAEHXZ ; QT::QDialog::exec(void) 关闭时显示欢迎使用IDA demo版(将mov ecx, dword_6AF998及call ds:?exec@QDialog@QT@@QAEHXZ 语句nop掉) .text:00416047 8B 0D 98 F9 6A 00 mov ecx, dword_6AF998 ; _DWORD .text:0041604D FF 15 7C B8 5B 00 call ds:?exec@QDialog@QT@@QAEHXZ ; QT::QDialog::exec(void) 已经打开一个反汇编,再打开一个新的反汇编显示欢迎使用IDA demo版(同上) .text:00415200 8B 0D 98 F9 6A 00 mov ecx, dword_6AF998 ; _DWORD .text:00415206 FF 15 7C B8 5B 00 call ds:?exec@QDialog@QT@@QAEHXZ ; QT::QDialog::exec(void) .text:0041520C A1 8C 90 5B 00 mov eax, ds:database_flags .text:00415211 83 08 01 or dword ptr [eax], 1 .text:00415214 B0 01 mov al, 1 .text:00415216 C3 retn 关闭当前反汇编显示欢迎使用IDA demo版(同上) .text:00415220 8B 0D 98 F9 6A 00 mov ecx, dword_6AF998 ; _DWORD .text:00415226 FF 15 7C B8 5B 00 call ds:?exec@QDialog@QT@@QAEHXZ ; QT::QDialog::exec(void) .text:0041522C A1 8C 90 5B 00 mov eax, ds:database_flags .text:00415231 83 08 01 or dword ptr [eax], 1 复制代码行数限制(nop掉jge语句) .text:00436977 81 FB 00 01 00 00 cmp ebx, 100h .text:0043697D 0F 8D 13 01 00 00 jge loc_436A96 使用时间只能用一年,也就是2014年3月22日将会过期(004107B1处jz改为jmp) .text:004107AA E8 D1 5A 13 00 call sub_546280 .text:004107AF 84 C0 test al, al .text:004107B1 74 1F jz short loc_4107D2 .text:004107B3 68 38 DB 5B 00 push offset aIconErrorAutoh ; "ICON ERROR\nAUTOHIDE NONE\nSorry, the e"... .text:004107B8 E8 23 D7 FF FF call sub_40DEE0 不能反汇编自己(00428333处jz改为jmp) .text:00428329 E8 22 A3 FF FF call sub_422650 .text:0042832E 83 C4 04 add esp, 4 .text:00428331 84 C0 test al, al .text:00428333 74 14 jz short loc_428349 .text:00428335 68 40 12 5C 00 push offset aIconErrorAut_9 ; "ICON ERROR\nAUTOHIDE NONE\nSorry, the d"... 只能反汇编PE,ELF,Mach-O文件(原因是只尝试加载了那三种类型的Loader,所以改为遍历加载整个loaders目录下的x86或者x64代码模块Loader,由于代码不是一两行,所以实现在IDA6DemoMore.dll中(由于此版IDA修改还不完善,所以不提供)) 最后为了防止EXE镜像在WIN7等环境下被加载到非默认入口地址的其他地方,给Nt_headers->FileHeader.Characteristics加上IMAGE_FILE_RELOCS_STRIPPED位。 现在还是用IDA Demo 6.4(IDA v6.4.130702)牢靠点。 http://bbs.pediy.com/showthread.php?t=167109&page=2 |
|
[分享]IDA 6.4 Services Pack (Build 130306) SDK
感谢楼主分享,支持楼主继续分享,SDK还是很有作用的,可以看到IDA插件及其他一些组件的源码,对学习调试技术很有帮助。 |
|
[原创]bass.dll的脱壳
就是初学脱壳嘛,不怎么会 |
|
[原创]bass.dll的脱壳
HGE是开源,但是其依赖的音频库BASS.DLL不开源,只提供了DLL文件,且加了壳。 |
|
[原创]修复spy4win无法取ListView内容的BUG
thanks. |
|
[原创]修复spy4win无法取ListView内容的BUG
本来是想联系作者修复的,可半年过去了,还是没猫洞,因为这个工具很强大,很常用,美中不足的就是这点一直不能用,所以只好做了个艰难的决定,自己来修正了。 附上测试中使用的本人编写制作的电子书程序成书《汇编语言》。 由CHM版转制生成。 |
|
应用层反外挂技术实践
嗯 注入的方法很多 这样不能完全防止注入 况且还可以促使主动加载 一种简单的注入方法,如设置目标进程已有线程的EIP,来做任何事。 一种简单的主动加载方法,修改导入表,添加依赖DLL。 |
|
如何获取调试器进程
基本懂了,谢谢各位前辈,结贴。 |
|
如何获取调试器进程
小弟出道不久 涉世未深 看得不是很懂 不是很了解 要是有示例代码 就更好了 |
|
如何获取调试器进程
那么还是没有解决了? |
|
如何获取调试器进程
没有样........ |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值