首页
社区
课程
招聘
[旧帖] [原创]自己修改OD 让主窗口不再出现xx.exe 0.00雪花
发表于: 2011-3-12 16:04 5806

[旧帖] [原创]自己修改OD 让主窗口不再出现xx.exe 0.00雪花

2011-3-12 16:04
5806

说明下我用的是52的OD,其它版本的可能不一样。
 
大家使用OD调试的时候,OD的主窗口会出现被调试程序的 文件名.exe
如下图:

Anti.exe就会出现在OD的主窗口中。有的程序就会枚举所有窗口,检测标题是不是含有
程序文件名.exe字串,比如我上传这个附件。

StrongOD 好像没有这个功能。

那么现在我们就开始自己修改吧!

1:把OD加到OD中。(直接复制一个OD扔进去就行了)。
2:F9 让他运行起来。效果如下:


以下:调试OD的OD 称为OD1, 被调试的OD称为OD2

3:就把一个不会让OD挂悼的程序拖到OD2中,
OD1中 bp SetWindowTextA下这个断点。
在OD2中点<< 重新运行

(SetWindowText 这个是设置窗口文本的。OD2的标题就会改变。)

那么OD1断下后堆栈如下:


具体分析过会在进行先整体看下。 按 又OD1 F9运行如下


现在分析一下:
TEXT 里的内容和我们OD2的标题内容是一样的。说明我们找对地址了。
调用SetWindowTextA的是StrongOD插件里的一个函数。

现在我们在OD2里,注意是OD2里,点那个<<标致,就是重新运行。

这次我们要回溯到调用的地方。断下后如下:


Ctrl+f9  3下就回到了程序领空 向上拉一点就看到了:如图


好 在call SetWindowTextA这句上下断点 下断点。

继续F9 重复上面的动作 把其它调用SetWindowTextA的地方找出来, 找到三个: 全设断




找到3call SetWindowTextA个。
全部设断 取消bp SetWindowText 断点
(经测试 475bc7这个不要改,改了以后按<< 或ctrl+f2 被调试程序就会结束) 只改2个。

思路:
让主窗口不显示内容的话那么只要把 
BOOL SetWindowText(
  HWND hWnd,         // handle to window or control
  LPCTSTR lpString   // title or text
);
参数 lpString变成空就行了。 
我们在OD1里写个子程序, 就是一个函数。 然后修改上面的
3个的call SetWindowTextA这句, 让它调用我们的函数,在我们函数里面把
参数lpString就是标题的内容变为空, 然后和OD原来一样调用StrongOD里的函数。
最后retn返回就可以了。

现在自己找个空白处写函数:如下

0x4af810:
push ebp
mov ebp,esp
push eax
mov eax,dword ptr ss:[ebp+0xC]
mov byte ptr ds:[eax],0x0
pop eax
push dword ptr ss:[ebp+0xC]
push dword ptr ss:[ebp+0x8]
call 004AF5BE
mov esp,ebp
pop ebp
retn 0x8

简要说明下:
0x4af810: // 我是用的NonaWrite写的哈 手动写就不要这句了
push ebp
mov ebp,esp
// 这就是把lpString变为空
push eax
mov eax,dword ptr ss:[ebp+0xC]
mov byte ptr ds:[eax],0x0
pop eax
// 下面三句就是模仿的原来Call SetWindowTextA的调用
push dword ptr ss:[ebp+0xC]
push dword ptr ss:[ebp+0x8]
call 004AF5BE  
mov esp,ebp
pop ebp
// 这句很重要,要使堆栈平衡, 为什么是0x8因为你原来的call
// push 了2个参数嘛
retn 0x8

因为我们设了断的嘛,所以按alt+b 打开断点
把2个call 都改成call 4af810 (4af810 你自己函数的地址)

然后 右键->复制可执行文件->所有修改->全部复制->保存文件……

如果出现下面的这个:
可以在调试OD2之前改一下OD2的rawsize.

那么可能是因为rawsize太小了 用PE Explorer改大一下就行. 或者换个位置。。
 


视图->区段头->区段编辑器

点左边那个锁
改 RAW数据大小 ae800 为000AFA00 文件另存为 xx 然后就调试这个改过的.

 这个就可以写入代码了…….
最后如果对你有用的话,请回下帖!光是图片就搞得头都大了!
上效果图

HELLO 表示过了检测 oh 表示没过检测


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 7
支持
分享
最新回复 (43)
雪    币: 206
活跃值: (86)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
2
总算发完了
2011-3-12 16:21
0
雪    币: 1131
活跃值: (4202)
能力值: ( LV5,RANK:69 )
在线值:
发帖
回帖
粉丝
3
学习,支持一下
2011-3-12 16:33
0
雪    币: 6525
活跃值: (3418)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
楼主很强啊
2011-3-12 16:34
0
雪    币: 578
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
很有用,学习了
2011-3-12 16:34
0
雪    币: 206
活跃值: (86)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
6
哇有人回复了!感动!!!
2011-3-12 16:40
0
雪    币: 33
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
楼主很有实力的呀,共同努力
2011-3-12 20:05
0
雪    币: 206
活跃值: (86)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
8
我也才学没多久!
只会一些简单的!!!
2011-3-12 22:01
0
雪    币: 206
活跃值: (86)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
9
哇第一个精华 激动ING
2011-3-14 23:28
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
崇拜lz!
2011-3-14 23:57
0
雪    币: 32
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
楼主很不错呀,不像菜鸟了
2011-3-15 08:34
0
雪    币: 777
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
顶一个。。。。
2011-3-15 08:41
0
雪    币: 15
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
写的不错~ 有图适合其他人学习~
2011-3-15 11:02
0
雪    币: 8719
活跃值: (2085)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
这个可以学习学习!谢谢!
2011-3-15 12:26
0
雪    币: 735
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
很强大,学习啦!!!
2011-3-15 16:35
0
雪    币: 41
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
看不到程序的领空 在那里 觉得不好
2011-3-15 18:53
0
雪    币: 206
活跃值: (86)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
17
这个当时确实没想到!

如果把子程序加上过滤的话会不灵活!
好的方法是用复制一个,用2个OD就行了(只多1.4m的空间),
当别人没有标题检测的时候就用原来的OD好了。
2011-3-15 21:36
0
雪    币: 2411
活跃值: (1412)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
18
这种检测不好,所以 StrongOD 不去理会吧?

先用记事本打开 anti.exe
再运行 anti.exe
是不是也会被检测到?
2011-3-16 11:30
0
雪    币: 206
活跃值: (86)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
19
是的 所有窗口 有anti.exe都会
2011-3-16 16:17
0
雪    币: 210
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
又进来高手了
2011-3-17 07:53
0
雪    币: 2411
活跃值: (1412)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
21
你说这种 anti 有意思吗?

我个人是觉得,StrongOD 可以不去理会。
2011-3-17 10:50
0
雪    币: 13
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
很实用的东西
不回复就对不起楼主的辛苦啦
2011-3-17 17:15
0
雪    币: 32
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
很值得学习 写写你的方法
2011-3-17 23:26
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
楼主好强大哦
2011-3-18 02:05
0
雪    币: 23
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
多谢楼主分享,本人心存感激
2011-3-18 10:14
0
游客
登录 | 注册 方可回帖
返回
//