|
[求助]用OD又查不到字符串,新手初学,不知从何入手。还是要在那里设中断?
这个程序是用易语言写的,验证代码在krnln.fnr里(实际是个DLL),从这句进入: 00401145 |. 66:C703 5C00 MOV WORD PTR DS:[EBX],5C 0040114A |> 68 23104000 PUSH xjxc.00401023 ; /StringToAdd = "krnln.fne" 0040114F |. 8D85 FCFEFFFF LEA EAX,DWORD PTR SS:[EBP-104] ; | 00401155 |. 50 PUSH EAX ; |ConcatString 00401156 |. E8 83000000 CALL <JMP.&KERNEL32.lstrcatA> ; \lstrcatA 0040115B |. 50 PUSH EAX ; /FileName 0040115C |. E8 77000000 CALL <JMP.&KERNEL32.LoadLibraryA> ; \LoadLibraryA 00401161 |. 85C0 TEST EAX,EAX 00401163 |. 74 40 JE SHORT xjxc.004011A5 00401165 |> 8985 F8FEFFFF MOV DWORD PTR SS:[EBP-108],EAX 0040116B |. 68 2D104000 PUSH xjxc.0040102D ; /ProcNameOrOrdinal = "GetNewSock" 00401170 |. 50 PUSH EAX ; |hModule 00401171 |. E8 5C000000 CALL <JMP.&KERNEL32.GetProcAddress> ; \GetProcAddress 00401176 |. 85C0 TEST EAX,EAX 00401178 |. 74 20 JE SHORT xjxc.0040119A 0040117A |. 68 E8030000 PUSH 3E8 0040117F |. FFD0 CALL EAX 00401181 |. 85C0 TEST EAX,EAX 00401183 |. 74 15 JE SHORT xjxc.0040119A 00401185 |. E8 00000000 CALL xjxc.0040118A 0040118A |$ 810424 761E00>ADD DWORD PTR SS:[ESP],1E76 00401191 |. FFD0 CALL EAX ; krnln.1002973A 进到之后,你拦截所有MessageBoxA调用就可以拦截到注册码错误的对话框了 它是通过读取硬盘序列号来分辨机器的 易语言有点怪,很多都是通过后期链接的(LoadLibrary),通过Call函数指针来调用。 |
|
[求助]怎么选取内存补丁位置(即空白处) 还有OD的断点方法
谢谢二楼的提示 |
|
[求助]请教下 如何知道OD中程序运行的上条指令的地址
如果是call的话可以在堆栈里看到,如果是jmp的话就要具体分析了 |
|
[求助]关于API断点的几个疑问!
1、GetPrivateProfileString是读取INI文件专用的函数,CreatFile是文件或设备操作(创建,打开)方面的函数 2、两个函数好像没有必然的联系。当然要看软件的具体情况啦,如果它是把KEY保存在文件就用CreateFile,如果有注册信息方面的对话框出现,当然用MessageBox 3、4个函数的主要功能: 显示一个标准对话框 创建或打开文件、设备 获取窗口文字 获取对话框子控件文字(一般用于基于对话框的程序,学过VC可能比较好了解这方面) |
|
[求助]软件有适用次数限制,我就拿过来想练练手,但遇到了问题。
这程序有个最简单的破解方法,哈哈哈:把Media.ini属性的只读勾上就行了。 它是通过读取GuessWhat=的值来判断你的剩余使用次数的,文件设为只读后,WritePrivateProfileString会失败,它也就无法更新你的剩余使用次数,也就是 |
|
[求助]OD为什么会自动中断,我也没有设置断点
中断后OD显示什么类型的中断,在调试对话框里忽略掉此类中断就行了。 |
|
[求助]第一次发帖: 北斗的壳
收藏,一年后再翻此帖。 |
|
[求助]第一次发帖: 北斗的壳
我现在赶着要分析软件呀,哪里有空再从头学手动脱壳?并不是我懒,我已经试了两天了,刚刚脱出来有9MB大,唉,是我搞错了吧。 谁有权限下载11楼的附件呀?我可能是新来的,下载不到,麻烦你下载后发到我的邮箱:tanchuhan@sina.com 我执行到4022BA,然后打开Ollydump,用默认数据: 可脱出来的有9.67MB,段还是有nsp0 nsp1 nsp2, 多出了个idata2.我不知道自己是否正确。 为了搞这个软件,我已经重启了N次,每次都是给它用崩溃式的重启,搞得我电脑的CMOS的设置都被重置了。哪位好心人,帮一下我呀。 |
|
[求助]第一次发帖: 北斗的壳
楼上,不行呀,我在IE中打开它没有显示任何东西,如果用另存为的话,它就保存为clear.gif,然后图片只有一个黑点。晕了,怎么论坛那么多限制的。 你可以发到我邮箱吗? tanchuhan@sina.com |
|
[求助]第一次发帖: 北斗的壳
用DASM的话,左边显示的地址就和你的一样,但如果用ollydbg,它显示的是7xxxxx的,搞得我都晕了。调试这个程序,我刚加载它就提示异常,然后退出,可我根本就还没开始按F8执行。 楼上,你可不可以脱掉壳给我呀?我试了一整天了,都不行。 |
|
[求助]第一次发帖: 北斗的壳
楼上用的是什么调试器,怎么我的不同你的,我用的是ollydbg |
|
|
|
[求助]第一次发帖: 北斗的壳
或者谁告诉我让softice躲过它检测的方法,谢谢啦.我在网上找了很久都找不到有效的方法. 还有,对它检测到有softice, 重启我电脑的方法感兴趣,不知它是调用什么函数来重启我的电脑的, 反正电脑突然黑屏,然后就莫名其妙地重启了. |
|
[求助]第一次发帖: 北斗的壳
9. 不得发请求破解、请求脱壳、有偿交易帖 我不知道我有没有犯了论坛的这条, 但我主要是想分析软件的原理, 而它加的壳阻止了我. |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值