|
[求助]AdvancedOlly.dll问题求助?
取消这干嘛,又没什么用 简单看了一下,我的Advanced.dll加载基址是0x10000000,去掉窗口标题的代码在这个位置: 10001978 68 B6A20010 PUSH advanced.1000A2B6 ; 空字符串 1000197D FF75 08 PUSH DWORD PTR SS:[EBP+8] ; 主窗口的句柄 10001980 E8 73720000 CALL <JMP.&user32.SetWindowTextA> ; 就是这里将标题去掉了 如果不想去掉,把它NOP掉就行了(注意堆栈平衡)。 |
|
[已解决]test后面接je是什么意思?
补充: 1.test a,b是做 AND 运算(虽然通常是用来测试结果是否为零,但不限于此,比如一些位掩码操作,或者正负号判断等),但不把结果写回目的操作数,仅根据结果的值来置标志位。 2.je/jz 是 当运算结果为0时则跳,也就是当EFLAGS中的ZF标志为1时跳转。ZF标志为1,说明上一次运算(不管是算术运算还是逻辑运算)结果为0,而ZF为0,说明运算结果非0。 那 test eax,eax 放到这程序里面对于验证是否注册有什么意义呢?为什么要检测这个值是不是零呢? 因为EAX中是前一步的计算结果(比如验证是否成功),要判断验证是否成功,当然就等于判断EAX中的值了。当然,理论上不一定要和0比较,也可以进行其它的判断,但在这种情况下通常是一种bool型的值,在C中没有bool这种类型,而是把0作为false,把任何非0值作为true,所以这里就要判断它是true还是false,也就是判断它是不是为零了。 提个小建议,楼主应该先学习一段时间的编程,而不是一开始就照着汇编手册学逆向,这样效率不高。 |
|
[调查]有人需要初学者做帮手吗?
练手的方法太多了。 为了检验自己编程的知识,可以自己随便想一些事情来做,比如写一个cp.exe,写一个ls.exe,或者mkdir.exe等,这些东西本身并不复杂,但涉及到的知识面非常广,如果你能通过查找资料,自己完成这样的一个小工具,一方面对自己的技术是有极大的提高,另一方面也会有相当大的成就感了。 另外,也可以找一些开源的程序借来来阅读,提高自己的阅读代码的能力,并且从中学习别人的技术。下面是sf中国的连接,上面有无数的开源项目,看一看,相信一定会有收获。 www.sourceforgecn.net 祝你成功。 |
|
[讨论]三问斑竹,是不是新官就一定要滥用权力?
如果哪里有得罪,向你道歉。 我查看过了你发的帖子,你注册时可能没仔细看本论坛的版规。 你的帖子里什么都没有,就放着个程序,属于明显的“求破”类型。论坛对“求破”的内容,本来就有些不符合这个论坛的主旨,一般的处理都是锁贴,如果是有偿求破等,一律删贴。 你发贴提问,别人得看到你的问题,知道你哪里有了困难。而“这个软件怎么破”这根本就不是问题,好比学生问老师“这个题答案是几?”,老师是不喜欢这样的提问的。 你把你的分析过程展示出来,把遇到的困难详细描述出来,看贴的人如果恰好知道问题的缘由,就可以回了。 你只放一个程序,别人只好当你根本没分析,就是想“捡现成的”,一般人又哪来的时间去弄这“本来就与自己毫无关系”的程序? 要知道,没有任何人有义务必须为你服务,你得到了别人的帮助,那是别人的好心,可不能觉得那是“应该的”。 版主并不是“职位”,版主们为论坛服务,没有得到任何个人的好处。也许其它类型的论坛有职业版主,但至少看雪论坛的版主都是义务劳动的。希望你能体谅版主们,也希望你注意一下自己的心态。如果你还不太明白看雪论坛的性质,看一下《论坛基本规则》。看雪论坛不是你找注册机、注册码的地方(公布商业软件的授权许可等是有知识产权方面的法律问题的),而是让你学习软件安全技术和知识的地方。 在学习过程中遇到了问题,可以在论坛上提问,有许多热心的朋友会帮助,但如果继续发违规的主题,版本也只能继续照章办事。 谢谢你的理解和合作。 |
|
[求助]初学者的一个问题
那它就确实不是原来那个进程了,原来那个进程重新创建一个子进程,然后自己退出,就这样。 PID与进程对应的,一个进程只能有一个PID,一个PID也只能对应一个进程。PID不同,那它们就确实是两个不同的进程。 |
|
[已解决]test后面接je是什么意思?
就是同一条指令的不同且记符,机器码是0x74。 |
|
[已解决]test后面接je是什么意思?
jz和je是同一条指令的两个不同记号而已。 |
|
[求助]如何拦截隐藏按钮的函数
我在OD里面的查看-窗口 里面看到了那个试用按钮的名字,但是就是没有显示出来 那你就bp ShowWindow [esp+8]==0试试 比如OD里的:复制到可执行文件-所有修改,里面只有“选择的修改”。又如 run跟踪 里面只有“设置条件”这一个功能,又如“新EIP”它会弹出警告,但问题是我确实在用户代码空间调试程序,地点不在系统模块中啊 我只能回答最后一个问题,OD发出警告是因为当前执行的代码,不位于可执行文件的代码段当中,而不是因为你在系统dll当中(比如程序申请的堆空间然后动态解码执行,就会出现这种警告) 其它问题我也无法回答,你的OD是从论坛上下的吗?有没有自己添加过什么插件或修改过什么配置呢? |
|
[求助]大家看看这个重启验证怎么破解?我研究2天了。
重启验证。 下断点rtcGetSettings,到读取用户名时返回,查找验证代码。 网络验证,将name发送到服务器,检查是不是有效用户,根据服务器的返回消息来判断是不是合法用户。 验证过程自行分析。 |
|
[求助]如何知道某一地址是从何处执行过来的
OD在正常情况下,是无法得知程序是从哪里跳来的。 试试OD的跟踪功能。 或者看一下以下内容: Conditional Branch Logger LastBranchRecord |
|
[求助]如何拦截隐藏按钮的函数
不一定是隐藏按钮这么简单,有可能是隐藏了,也可以根本就不创建这个按钮了。 隐藏窗口(按钮控件也是窗口,所以对窗口的操作都适用于按钮),用ShowWindow(0)来实现 如果是不创建这个按钮,那么就要调试一下到期之前的程序,在什么时候创建窗口。最可能用CreateWindowEx函数。 |
|
[求助]请教个软件调试时的问题
点选一行的时候就会选择二到三行 这种情况时有出现,具体原因不明。 消除udd文件,重新加载可能会解决问题。如果不行,就试试右键->分析->删除所有分析 至于壳的问题,不要过于依赖于工具,毕竟工具是很好“骗”的。而且不一定非要脱壳才能调试(当然仅限于少数简单的情况下可以带壳调试)。如果不脱壳确实无法进行,那就只能靠自己的经验分析壳代码,尝试手动脱壳。 |
|
[求助]初学者的一个问题
这样就不是原来的进程了 不明白你说的意思。 调试的时候按暂停就会跳到retn “暂停”后,一般是停在KiFastSystemCallRet的位置(通常是这样的,但不限于此),这是很正常的。因为进程是被内核挂起的,而不是调试器。 单步走的时候也不会出来 不是不出来,是需要很多步才能出来,通常“暂停”后采用直接Alt+F9的方法。 不过“暂停”不是推荐的方法,最好还是想办法用API断点使程序断下来,而不是去“暂停”它,有时“暂停”会出问题的。 |
|
[求助]怎么拦截按纽
找到它响应按键的代码,假设它是通过响应WM_KEYDOWN消息来实现的,只需要把它对wParam的判断过程修改一下。 |
|
[求助]delphi控件的问题
这里有一篇简单介绍DBU的文章。其它文章自己找找吧,微软的知识库里有,英文的。 http://blog.csdn.net/rogeryi/archive/2005/04/19/354208.aspx |
|
[求助]delphi控件的问题
这个是delphi天生的缺陷。具体原因我也说不清楚,因为Windows下对话框模板使用Dialog Based Unit而不是直接使用像素单位,而且跟字体设置等有关。 自己查“Dialog Based Uni”就会得到相关的资料了。 |
|
[求助]请帮忙看结果是多少,并给出分析过程
实验过了,结果确实是ax=1,bx=0。 下面解释一下: 程序定义了16个word作栈空间,前几行代码是置栈指针的,让栈初始为空即,sp=16指向栈底部。 接下来的几条指令是将call指令后的那一条nop的地址入栈,此时栈中的数据为: ss:00 -> offset s ss:02 -> cs // 上面的值不是栈中的值,是为call指令构造的目的地址 // 04 - 0a\0b之间的值无效 ss:0c -> offset s - 1,因nop占一个字节,所以它与后面s的地址相差1 ss:0e -> cs 并且call指令执行后,cs:eip指向s处的代码,sp == 0c,即“返回”地址 所以,后面给ax装入s的地址,再减去ss:[0ch],相差正好是1,即一个nop指令的字节长度 而给bx装入cs的值,再减去cs,结果当然是0了 如果这个问题搞不明白,把书中的8086逻辑寻址模式和堆栈那一部分知识好好看一下,哦,还有call指令也要搞明白。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值