Obsidium V1.25加壳VB程序的脱壳――超级自动注册申请王-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

Obsidium V1.25加壳VB程序的脱壳――超级自动注册申请王

发表于: 2005-4-29 22:51 13100

Obsidium V1.25加壳VB程序的脱壳――超级自动注册申请王

fly

2005-4-29 22:51

13100

Obsidium V1.25加壳VB程序的脱壳――超级自动注册申请王 V1.9



下载页面：  http://www2.skycn.com/soft/21992.html
软件大小：  2894 KB
软件语言：  简体中文
软件类别：  国产软件 / 试用版 / 网络辅助
应用平台：  Win9x/NT/2000/XP
加入时间：  2005-04-12 16:54:38
下载次数：  26267
推荐等级：  ***
开发商：  http://www.5it.cn
软件介绍： “超级自动注册申请王”是一款能够自动注册QQ号、UC号、YamQQ号、赢财通QQ号、MyIM号、联众游戏大厅、游戏茶苑大厅、E话通号、KuGoo号、PP点点通帐号、浩方游戏平台号、免费相册、诸多免费邮箱、免费二级域名……管理所注册的号码密码……等等等等诸多的功能于一身的强大软件。

【作者声明】：只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教

【调试环境】：WinXP、flyODBG、PEiD、LordPE、ImportREC

―――――――――――――――――――――――――――――――――
【脱壳过程】：


Obsidium新版一直没看，有兄弟提出这个程序，看看不算难，所以记录了一下。
―――――――――――――――――――――――――――――――――
一、Obsidium V1.25的反跟踪


用OllyDbg修改版来调试，设置OllyDbg忽略所有异常选项。
用IsDebug插件去掉OllyDbg的调试器标志。用UnhExcFlt.DLL插件先Patch一下。

0066E000 E8 0E000000    call 0066E013
//进入Ollydbg后暂停在这
0066E005 8B5424 0C    mov edx,dword ptr ss:[esp+C]
0066E009 8382 B8000000 0>add dword ptr ds:[edx+B8],0D
0066E010 33C0          xor eax,eax
0066E012 C3             retn

如果没有使用UnhandledExceptionFilter插件Patch，可以如下修改。
Ctrl+G：UnhandledExceptionFilter

7C862B8A 68 48020000    push 248
7C862B8F 68 E035867C    push kernel32.7C8635E0
7C862B94 E8 32F9F9FF    call kernel32.7C8024CB
7C862B99 A1 CC36887C    mov eax,dword ptr ds:[7C8836CC]
7C862B9E 8945 E4       mov dword ptr ss:[ebp-1C],eax
7C862BA1 8B5D 08       mov ebx,dword ptr ss:[ebp+8]
7C862BA4 899D 88FEFFFF mov dword ptr ss:[ebp-178],ebx
7C862BAA C785 B8FEFFFF 0>mov dword ptr ss:[ebp-148],4
7C862BB4 33FF          xor edi,edi
7C862BB6 89BD C4FEFFFF mov dword ptr ss:[ebp-13C],edi
7C862BBC 89BD 94FEFFFF mov dword ptr ss:[ebp-16C],edi
7C862BC2 8B03          mov eax,dword ptr ds:[ebx]
7C862BC4 F640 04 10    test byte ptr ds:[eax+4],10
7C862BC8 74 0A          je short kernel32.7C862BD4
7C862BCA FF30          push dword ptr ds:[eax]
7C862BCC 6A FF          push -1
7C862BCE FF15 FC13807C call dword ptr ds:[<&ntdll.NtTerminateProcess>]
7C862BD4 8B03          mov eax,dword ptr ds:[ebx]
7C862BD6 BE 050000C0    mov esi,C0000005
7C862BDB 3930          cmp dword ptr ds:[eax],esi
7C862BDD 75 1A          jnz short kernel32.7C862BF9
7C862BDF 8378 14 01    cmp dword ptr ds:[eax+14],1
7C862BE3 75 14          jnz short kernel32.7C862BF9
7C862BE5 FF70 18       push dword ptr ds:[eax+18]
7C862BE8 E8 87FCFFFF    call kernel32.7C862874
7C862BED 83F8 FF       cmp eax,-1
7C862BF0 75 07          jnz short kernel32.7C862BF9
7C862BF2 0BC0          or eax,eax
7C862BF4 E9 5F080000    jmp kernel32.7C863458
7C862BF9 89BD DCFEFFFF mov dword ptr ss:[ebp-124],edi
7C862BFF 57             push edi
7C862C00 6A 04          push 4
7C862C02 8D85 DCFEFFFF lea eax,dword ptr ss:[ebp-124]
7C862C08 50             push eax
7C862C09 6A 07          push 7
7C862C0B E8 FDB3FAFF    call kernel32.GetCurrentProcess
7C862C10 50             push eax
7C862C11 FF15 AC10807C call dword ptr ds:[<&ntdll.NtQueryInformationProcess>]
7C862C17 85C0          test eax,eax
7C862C19 0F8C A2000000 jl kernel32.7C862CC1
7C862C1F 39BD DCFEFFFF cmp dword ptr ss:[ebp-124],edi
//修改为： mov dword ptr ss:[ebp-124],0
7C862C25 0F84 96000000 je kernel32.7C862CC1
//修改为： jmp 7C862CC1

Obsidium V1.25专门针对WinXP下三环调试器设置了一个检测。
Ctrl+G：CheckRemoteDebuggerPresent

7C859902 8BFF          mov edi,edi
7C859904 55             push ebp
7C859905 8BEC          mov ebp,esp
7C859907 837D 08 00    cmp dword ptr ss:[ebp+8],0
7C85990B 56             push esi
7C85990C 74 35          je short kernel32.7C859943
7C85990E 8B75 0C       mov esi,dword ptr ss:[ebp+C]
7C859911 85F6          test esi,esi
7C859913 74 2E          je short kernel32.7C859943
7C859915 6A 00          push 0
7C859917 6A 04          push 4
7C859919 8D45 08       lea eax,dword ptr ss:[ebp+8]
7C85991C 50             push eax
7C85991D 6A 07          push 7
7C85991F FF75 08       push dword ptr ss:[ebp+8]
7C859922 FF15 AC10807C call dword ptr ds:[<&ntdll.NtQueryInformationProcess>]
7C859928 85C0          test eax,eax
7C85992A 7D 08          jge short kernel32.7C859934
7C85992C 50             push eax
7C85992D E8 49FAFAFF    call kernel32.7C80937B
7C859932 EB 16          jmp short kernel32.7C85994A
7C859934 33C0          xor eax,eax
7C859936 3945 08       cmp dword ptr ss:[ebp+8],eax
7C859939 0F95C0       setne al
7C85993C 8906          mov dword ptr ds:[esi],eax
7C85993E 33C0          xor eax,eax
7C859940 40             inc eax
//修改为： nop
7C859941 EB 09          jmp short kernel32.7C85994C
7C859943 6A 57          push 57
7C859945 E8 76F9FAFF    call kernel32.7C8092C0
7C85994A 33C0          xor eax,eax
7C85994C 5E             pop esi
7C85994D 5D             pop ebp
7C85994E C2 0800       retn 8

OK，现在就可以在OllyDbg修改版里面正常运行起来了。

―――――――――――――――――――――――――――――――――
二、搞定输入表

超级自动注册申请王是VB写的程序，许多壳对VB保护不佳。Obsidium也没有对这个程序使用上特色重定位功能，因此我们直接去搞定输入表了。
修改完上面几处去除反跟踪后，Ctrl+G：IsProcessorFeaturePresent

7C80ACB2 8BFF          mov edi,edi
7C80ACB4 55             push ebp
7C80ACB5 8BEC          mov ebp,esp
7C80ACB7 8B45 08       mov eax,dword ptr ss:[ebp+8]
7C80ACBA 83F8 40       cmp eax,40
7C80ACBD 73 0B          jnb short kernel32.7C80ACCA
7C80ACBF 0FB680 7402FE7F movzx eax,byte ptr ds:[eax+7FFE0274]
7C80ACC6 5D             pop ebp
7C80ACC7 C2 0400       retn 4
//在函数末尾下断，避开壳的检测。Shift+F9中断后取消断点

在PE Header下面的第2区段设置内存访问断点。Shift+F9中断下来取消断点

00B68155 893E          mov dword ptr ds:[esi],edi
//中断在这里

Ctrl+F在整个段块搜索命令：test word ptr ds:[esi],20
找到在00B67FCE处，下面我们来Patch，以获得正确输入表函数。

00B67FC8 8B75 10       mov esi,dword ptr ss:[ebp+10]
00B67FCB 8B7D 0C       mov edi,dword ptr ss:[ebp+C]
00B67FCE 66:F706 2000 test word ptr ds:[esi],20
//Patch ①：test word ptr ds:[esi],8  ★
00B67FD3 74 46          je short 00B6801B
//Patch ②：jne 00B6801B  ★
00B67FD5 66:F706 0200 test word ptr ds:[esi],2
00B67FDA 75 1F          jnz short 00B67FFB
00B67FDC 66:C706 0400 mov word ptr ds:[esi],4
00B67FE1 8B45 14       mov eax,dword ptr ss:[ebp+14]
00B67FE4 6A 01          push 1
00B67FE6 6A 00          push 0
00B67FE8 FF76 04       push dword ptr ds:[esi+4]
00B67FEB 6A 00          push 0
00B67FED FF75 18       push dword ptr ss:[ebp+18]
00B67FF0 FF50 50       call dword ptr ds:[eax+50]
00B67FF3 85C0          test eax,eax
00B67FF5 74 38          je short 00B6802F
//Patch ③：je 00B6801B  ★
00B67FF7 8907          mov dword ptr ds:[edi],eax
//正确函数写入这里可以看看[edi]地址，以确定IAT RVA和Size
//第一次EDI=00401000
00B67FF9 EB 20          jmp short 00B6801B
00B67FFB 66:C706 0400 mov word ptr ds:[esi],4
00B68000 8B45 14       mov eax,dword ptr ss:[ebp+14]
00B68003 0FB756 02    movzx edx,word ptr ds:[esi+2]
00B68007 6A 01          push 1
00B68009 52             push edx
00B6800A 6A 00          push 0
00B6800C FF76 04       push dword ptr ds:[esi+4]
00B6800F FF75 18       push dword ptr ss:[ebp+18]
00B68012 FF50 50       call dword ptr ds:[eax+50]
00B68015 85C0          test eax,eax
00B68017 74 16          je short 00B6802F
//Patch ④：je 00B6801B  ★
00B68019 8907          mov dword ptr ds:[edi],eax
00B6801B 83C6 08       add esi,8
00B6801E 83C7 04       add edi,4
00B68021 FF4D 08       dec dword ptr ss:[ebp+8]
00B68024 75 A8          jnz short 00B67FCE
00B68026 33C0          xor eax,eax
00B68028 40             inc eax
00B68029 5F             pop edi
00B6802A 5E             pop esi
00B6802B 5D             pop ebp
00B6802C C2 1400       retn 14

在00B6802C处下断，Shift+F9后输入表处理完毕
在00401000处向下查看，可以发现结束地址是004012C4
运行ImportREC，选择这个进程，填入RVA=00001000、Size=000002C4，获取输入表后发现有一个无效指针
00404D10 FF25 44114000 jmp dword ptr ds:[401144]

VB的东东一般加密的特殊函数是DllFunctionCall。
当然，也可以跟踪得出。跟踪原版这里会来到如下地方：

006767F7 55             push ebp
//这几条指令其实是把DllFunctionCall函数的挪移到壳里执行
006767F8 8BEC          mov ebp,esp
006767FA 83EC 0C       sub esp,0C
006767FD 56             push esi
006767FE 9C             pushfd
006767FF F0:FF0D D266670>lock dec dword ptr ds:[6766D2]
00676806 9D             popfd
00676807 E9 14389965    jmp 6600A020; MSVBVM60.6600A020

6600A019 55             push ebp
//DllFunctionCall
6600A01A 8BEC          mov ebp,esp
6600A01C 83EC 0C       sub esp,0C
6600A01F 56             push esi
6600A020 8D45 F4       lea eax,dword ptr ss:[ebp-C]
//从壳里直接跳到这里
6600A023 57             push edi
6600A024 50             push eax
6600A025 8D45 FC       lea eax,dword ptr ss:[ebp-4]
6600A028 8365 FC 00    and dword ptr ss:[ebp-4],0
6600A02C 50             push eax
6600A02D 8D45 F8       lea eax,dword ptr ss:[ebp-8]
6600A030 50             push eax
6600A031 6A 00          push 0
6600A033 FF75 08       push dword ptr ss:[ebp+8]
6600A036 E8 42000000    call 6600A07D

―――――――――――――――――――――――――――――――――
三、OEP

Obsidium没有对这个东东重定位，所以直接Alt+M打开内存查看窗口
在PE Header下面的第2区段设置内存访问断点。Shift+F9中断下来

004050AD E8 EEFFFFFF    call SuperAut.004050A0 ; jmp to MSVBVM60.ThunRTMain
//直接中断在这里。这是OEP处的第2条指令

看看堆栈：
0013FFC0 004054C4  ASCII "VB5!6&vb6chs.dll"

Obsidium的Stolen OEP Code一直不算强。很容易就得到OEP处第一条指令
004050A8 68 C4544000    push SuperAut.004054C4 ; ASCII "VB5!6&vb6chs.dll"
004050AD E8 EEFFFFFF    call SuperAut.004050A0 ; jmp to MSVBVM60.ThunRTMain

运行LordPE，完全Dump这个进程。
修正ImportREC里面的OEP RVA=000050A8，FixDump，脱壳完成了。

―――――――――――――――――――――――――――――――――
四、关于破解

这个东东的注册信息保存在注册表中，重启验证。
去掉时间限制很简单，BP rtcMsgBox，改几个跳转就行了。


―――――――――――――――――――――――――――――――――
      ,    _/
      /| _.-~/          \_    ,       青春都一晌
   ( /~ /             \~-._ |\
   `\\  _/             \ ~\ )       忍把浮名
_-~~~-.)  )__/;;,.       \_  //'
  /'_,\ --~ \ ~~~-  ,;;\___(  (.-~~~-.       换了破解轻狂
`~ _( ,_..--\ (    ,;'' / ~-- /._`\
  /~~//' /' `~\       ) /--.._, )_  `~
  "  `~"  "    `"    /~'`\ `\\~~\
                     "    " "~'  ""

            UnPacKed By :  fly
            2005-04-29 23:00

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・7

支持

最新回复 (23)
萝卜雪币： 260 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 48 回帖 833 粉丝 2 关注私信	萝卜 1 2 楼 fly老大，强，争取在5.1前发到51篇精华。 2005-4-29 23:30 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 3 楼最初由萝卜发布 fly老大，强，争取在5.1前发到51篇精华。支持！！！呵呵！~ 2005-4-30 07:29 0
askformore 雪币： 383 活跃值： (786) 能力值： ( LV12，RANK：730 ) 在线值：发帖 73 回帖 349 粉丝 2 关注私信	askformore 18 4 楼研究研究。 2005-4-30 07:36 0
李逍遥雪币： 213 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 82 粉丝 0 关注私信	李逍遥 1 5 楼向fly兄学习！ 2005-4-30 09:46 0
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 6 楼支持学习 2005-4-30 10:37 0
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 7 楼最初由李逍遥发布向fly兄学习！差点看错 2005-4-30 11:32 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 8 楼最初由 WiNrOOt 发布差点看错哈哈，我已经看错好几回了~ 2005-4-30 12:09 0
cnnets 雪币： 458 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 9 楼一VC6程序，参照FLY老大的方法修改anit后，还是被检测到 2005-5-9 12:11 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼用修改版跟踪一下看看是如何anti 2005-5-9 13:13 0
cnnets 雪币： 458 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 11 楼 04A6000 > E8 0E000000 call pk.004A6013＞＞＞＞＞FlyODBG载入后，停在这 004A6005 8B5424 0C mov edx,dword ptr ss:[esp+C] 004A6009 8382 B8000000 0D add dword ptr ds:[edx+B8],0D 004A6010 33C0 xor eax,eax 004A6012 C3 retn 按FLY老大方法，设置OllyDbg忽略所有异常选项。用IsDebug插件去掉OllyDbg的调试器标志。用UnhExcFlt.DLL插件先Patch一下。再Ctrl+G：CheckRemoteDebuggerPresent 77E9582B > 55 push ebp＞＞＞＞＞＞＞＞来到这 77E9582C 8BEC mov ebp,esp 77E9582E 837D 08 00 cmp dword ptr ss:[ebp+8],0 77E95832 56 push esi 77E95833 74 35 je short kernel32.77E9586A 77E95835 8B75 0C mov esi,dword ptr ss:[ebp+C] 77E95838 85F6 test esi,esi 77E9583A 74 2E je short kernel32.77E9586A 77E9583C 6A 00 push 0 77E9583E 6A 04 push 4 77E95840 8D45 08 lea eax,dword ptr ss:[ebp+8] 77E95843 50 push eax 77E95844 6A 07 push 7 77E95846 FF75 08 push dword ptr ss:[ebp+8] 77E95849 FF15 AC10E477 call dword ptr ds:[<&ntdll.NtQueryInfo>; ntdll.ZwQueryInformationProcess 77E9584F 85C0 test eax,eax 77E95851 7D 08 jge short kernel32.77E9585B 77E95853 50 push eax 77E95854 E8 604BFCFF call kernel32.77E5A3B9 77E95859 EB 16 jmp short kernel32.77E95871 77E9585B 33C0 xor eax,eax 77E9585D 3945 08 cmp dword ptr ss:[ebp+8],eax 77E95860 0F95C0 setne al 77E95863 8906 mov dword ptr ds:[esi],eax 77E95865 33C0 xor eax,eax 77E95867 40 inc eax＞＞＞＞＞＞＞＞＞修改为nop 77E95868 EB 09 jmp short kernel32.77E95873 77E9586A 6A 57 push 57 77E9586C E8 924AFCFF call kernel32.77E5A303 77E95871 33C0 xor eax,eax 77E95873 5E pop esi 77E95874 5D pop ebp 77E95875 C2 0800 retn 8 再Ctrl+G：IsProcessorFeaturePresent 77E6131B > 8B4424 04 mov eax,dword ptr ss:[esp+4]＞＞＞＞来到这，与FLY的不同？ 77E6131F 83F8 40 cmp eax,40 77E61322 73 0A jnb short kernel32.77E6132E 77E61324 0FB680 7402FE7F movzx eax,byte ptr ds:[eax+7FFE0274] 77E6132B C2 0400 retn 4 在函数末尾下断，Shift+F9后可中断，再取消断点。再Alt+M 显示内存窗口，在第2个区段00401000段“设置内存访问断点”，再Shift+F9后可以中断，来到： 003A4055 893E mov dword ptr ds:[esi],edi＞＞＞＞＞＞中断在这 003A4057 83C7 0C add edi,0C 003A405A 83C6 04 add esi,4 003A405D 41 inc ecx 003A405E 3B4D 0C cmp ecx,dword ptr ss:[ebp+C] 003A4061 ^ 72 C7 jb short 003A402A 003A4063 833E 00 cmp dword ptr ds:[esi],0 003A4066 75 30 jnz short 003A4098 再Ctrl+F在整个段块搜索命令：test word ptr ds:[esi],20 003A3EBE 56 push esi 003A3EBF 57 push edi 003A3EC0 8B75 10 mov esi,dword ptr ss:[ebp+10] 003A3EC3 8B7D 0C mov edi,dword ptr ss:[ebp+C] 003A3EC6 66:F706 2000 test word ptr ds:[esi],20＞＞＞＞找到这，修改 ①：test word ptr ds:[esi],8 ★ 003A3ECB 74 46 je short 003A3F13＞＞＞＞＞＞＞＞②改je为jne 003A3ECD 66:F706 0200 test word ptr ds:[esi],2 003A3ED2 75 1F jnz short 003A3EF3 003A3ED4 66:C706 0400 mov word ptr ds:[esi],4 003A3ED9 8B45 14 mov eax,dword ptr ss:[ebp+14] 003A3EDC 6A 01 push 1 003A3EDE 6A 00 push 0 003A3EE0 FF76 04 push dword ptr ds:[esi+4] 003A3EE3 6A 00 push 0 003A3EE5 FF75 18 push dword ptr ss:[ebp+18] 003A3EE8 FF50 50 call dword ptr ds:[eax+50] 003A3EEB 85C0 test eax,eax 003A3EED 74 38 je short 003A3F27＞＞＞＞＞＞＞＞③改为je short 003A3F13 003A3EEF 8907 mov dword ptr ds:[edi],eax 003A3EF1 EB 20 jmp short 003A3F13 003A3EF3 66:C706 0400 mov word ptr ds:[esi],4 003A3EF8 8B45 14 mov eax,dword ptr ss:[ebp+14] 003A3EFB 0FB756 02 movzx edx,word ptr ds:[esi+2] 003A3EFF 6A 01 push 1 003A3F01 52 push edx 003A3F02 6A 00 push 0 003A3F04 FF76 04 push dword ptr ds:[esi+4] 003A3F07 FF75 18 push dword ptr ss:[ebp+18] 003A3F0A FF50 50 call dword ptr ds:[eax+50] 003A3F0D 85C0 test eax,eax 003A3F0F 74 16 je short 003A3F27＞＞＞＞＞＞＞＞④改为je short 003A3F13 003A3F11 8907 mov dword ptr ds:[edi],eax 003A3F13 83C6 08 add esi,8 003A3F16 83C7 04 add edi,4 003A3F19 FF4D 08 dec dword ptr ss:[ebp+8] 003A3F1C ^ 75 A8 jnz short 003A3EC6 003A3F1E 33C0 xor eax,eax 003A3F20 40 inc eax 003A3F21 5F pop edi 003A3F22 5E pop esi 003A3F23 5D pop ebp 003A3F24 C2 1400 retn 14 在003A3F24处下断，Shift+F9后输入表处理完毕。再shift+f9后就程序非法操作而中止了 2005-5-9 19:08 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 12 楼第2区段设置内存访问断点，再Shift+F9 也可以处理输入表后不忽略异常看看哪里异常导致退出另外：上面的输入表处理方法不含特殊函数的处理 2005-5-9 19:20 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 13 楼下载一个去试试 2005-5-9 19:46 0
qq2003 雪币： 277 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 73 粉丝 0 关注私信	qq2003 14 楼收藏文章好好学习学习！ 2005-5-10 18:14 0
od破解雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 31 粉丝 0 关注私信	od破解 15 楼按FLY老大的步骤,我的为什么不一样呀,如果打补丁,只是把77E461A2 0F85 15040000 jnz kernel32.77E465BD 这里的JNZ改为NOP,运行还是直接退出,想手动改,但不知该改那个跳转,我用的系统是WIN2003的,另我用我的PEID092检测不出是什么加的壳,只显示"没有找到什么[重叠].那位老大给看一下 77E46157 > 68 F4040000 push 4F4 77E4615C 68 484EE577 push kernel32.77E54E48 77E46161 E8 90B5FCFF call kernel32.77E116F6 77E46166 6A 04 push 4 77E46168 5B pop ebx 77E46169 895D E0 mov dword ptr ss:[ebp-20],ebx 77E4616C 8B75 08 mov esi,dword ptr ss:[ebp+8] 77E4616F 8B06 mov eax,dword ptr ds:[esi] 77E46171 33FF xor edi,edi 77E46173 8138 050000C0 cmp dword ptr ds:[eax],C0000005 77E46179 75 09 jnz short kernel32.77E46184 77E4617B 3978 14 cmp dword ptr ds:[eax+14],edi 77E4617E ^ 0F85 A7FEFFFF jnz kernel32.77E4602B 77E46184 897D DC mov dword ptr ss:[ebp-24],edi 77E46187 57 push edi 77E46188 53 push ebx 77E46189 8D45 DC lea eax,dword ptr ss:[ebp-24] 77E4618C 50 push eax 77E4618D 6A 07 push 7 77E4618F E8 86BBFCFF call kernel32.GetCurrentProcess 77E46194 50 push eax 77E46195 FF15 B810E177 call dword ptr ds:[<&ntdll.NtQueryInform>; ntdll.ZwQueryInformationProcess 77E4619B 85C0 test eax,eax 77E4619D 7C 09 jl short kernel32.77E461A8 77E4619F 397D DC cmp dword ptr ss:[ebp-24],edi 77E461A2 0F85 15040000 jnz kernel32.77E465BD 77E461A8 A1 10E2E877 mov eax,dword ptr ds:[77E8E210] 77E461AD 3BC7 cmp eax,edi 77E461AF 74 15 je short kernel32.77E461C6 77E461B1 56 push esi 77E461B2 FFD0 call eax 77E461B4 83F8 01 cmp eax,1 77E461B7 0F84 02040000 je kernel32.77E465BF 77E461BD 83F8 FF cmp eax,-1 77E461C0 0F84 F9030000 je kernel32.77E465BF 77E461C6 E8 42C5FCFF call kernel32.77E1270D 77E461CB A8 02 test al,2 77E461CD 0F85 28040000 jnz kernel32.77E465FB 77E461D3 E8 77110000 call <jmp.&ntdll.RtlGetThreadErrorMode> 77E461D8 A8 20 test al,20 77E461DA 0F85 1B040000 jnz kernel32.77E465FB 77E461E0 57 push edi 77E461E1 6A 30 push 30 77E461E3 8D85 04FFFFFF lea eax,dword ptr ss:[ebp-FC] 77E461E9 50 push eax 77E461EA 6A 02 push 2 77E461EC 57 push edi 77E461ED FF15 7C15E177 call dword ptr ds:[<&ntdll.NtQueryInform>; ntdll.ZwQueryInformationJobObject 77E461F3 85C0 test eax,eax 77E461F5 0F8D F3030000 jge kernel32.77E465EE 77E461FB 8B06 mov eax,dword ptr ds:[esi] 77E461FD 8B08 mov ecx,dword ptr ds:[eax] 77E461FF 894D 9C mov dword ptr ss:[ebp-64],ecx 77E46202 8B48 0C mov ecx,dword ptr ds:[eax+C] 77E46205 894D A0 mov dword ptr ss:[ebp-60],ecx 77E46208 8138 060000C0 cmp dword ptr ds:[eax],C0000006 77E4620E ^ 0F84 2FFEFFFF je kernel32.77E46043 2005-5-18 13:43 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 16 楼 1、不同系统平台的anti未必一样，Win2000下没有CheckRemoteDebuggerPresent，Win2K3有没有这个不清楚 2、超级自动注册申请王升级了吧，加入了自校验 2005-5-18 13:51 0
od破解雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 31 粉丝 0 关注私信	od破解 17 楼谢谢老大，我又重新跟了一下，出现以下的问题，望给予帮助在WINDOWS2003下有CheckRemoteDebuggerPresent函数，我在此处和IsProcessorFeaturePresent处下断。从UnhandledExceptionFilter函数出来后返回到下面代码： 77F35275 0AC0 or al,al 77F35277 74 0C je short ntdll.77F35285（此处不跳） 77F35279 5B pop ebx 77F3527A 59 pop ecx 77F3527B 6A 00 push 0 77F3527D 51 push ecx 77F3527E E8 D0FFFFFF call ntdll.ZwContinue 从此处进入，代码如下： 77F35253 > B8 22000000 mov eax,22 77F35258 BA 0003FE7F mov edx,7FFE0300 77F3525D FFD2 call edx 77F3525F C2 0800 retn 8 从CALL处进入，代码如下： 7FFE0300 8BD4 mov edx,esp 7FFE0302 0F34 sysenter 7FFE0304 C3 retn 在SYSENTER命令处不知该如何跟踪，F8或F9运行就退出，不能达到断点处。 2005-5-22 17:12 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 18 楼始终建议：你可以找教程中的例子跟随教程演示一下另外，不清楚Obsidium在Win2K3是否有其他anti方式 2005-5-22 17:53 0
od破解雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 31 粉丝 0 关注私信	od破解 19 楼我就是用的1.9版的,在我单位的XP专业版上也是同样的情况,且没有CheckRemoteDebuggerPresent函数能否给出SYSENTER函数的常规拦截方法,谢谢 2005-5-23 07:21 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 20 楼 sysenter是系统异常处理 XP上没有CheckRemoteDebuggerPresent函数？SP2有，没有更好不行就放弃吧放弃也是不错的选择 2005-5-23 09:23 0
od破解雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 31 粉丝 0 关注私信	od破解 21 楼知道了，不能给自己找麻烦 2005-5-23 09:49 0
只喝芬达的狗雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 60 粉丝 0 关注私信	只喝芬达的狗 22 楼在PE Header下面的第2区段设置内存访问断点。Shift+F9中断下来取消断点 00B68155 893E mov dword ptr ds:[esi],edi //中断在这里这个东西升级了，我用的其他的程序，在pe header下面的第2个区段设置断点断到后却不是你说的地方，而是 0090E183 8B06 mov eax,dword ptr ds:[esi] //断在这 0090E185 85C0 test eax,eax 0090E187 74 18 je short 0090E1A1 是不是程序不一样的原因呢？ 2005-6-5 23:15 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 23 楼最初由只喝芬达的狗发布这个东西升级了，我用的其他的程序，在pe header下面的第2个区段设置断点断到后却不是你说的地方，而是 ........ 我记得我是下在401000的 2005-6-5 23:28 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 24 楼 PE Header下面的第2区段这里是00401000 另外：听说新版加了不少检验，小心重启 2005-6-5 23:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fly

294

发帖

7686

回帖

3410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
萝卜雪币： 260 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 48 回帖 833 粉丝 2 关注私信	萝卜 1 2 楼 fly老大，强，争取在5.1前发到51篇精华。 2005-4-29 23:30 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 3 楼最初由萝卜发布 fly老大，强，争取在5.1前发到51篇精华。支持！！！呵呵！~ 2005-4-30 07:29 0
askformore 雪币： 383 活跃值： (786) 能力值： ( LV12，RANK：730 ) 在线值：发帖 73 回帖 349 粉丝 2 关注私信	askformore 18 4 楼研究研究。 2005-4-30 07:36 0
李逍遥雪币： 213 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 82 粉丝 0 关注私信	李逍遥 1 5 楼向fly兄学习！ 2005-4-30 09:46 0
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 6 楼支持学习 2005-4-30 10:37 0
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 7 楼最初由李逍遥发布向fly兄学习！差点看错 2005-4-30 11:32 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 8 楼最初由 WiNrOOt 发布差点看错哈哈，我已经看错好几回了~ 2005-4-30 12:09 0
cnnets 雪币： 458 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 9 楼一VC6程序，参照FLY老大的方法修改anit后，还是被检测到 2005-5-9 12:11 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼用修改版跟踪一下看看是如何anti 2005-5-9 13:13 0
cnnets 雪币： 458 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 11 楼 04A6000 > E8 0E000000 call pk.004A6013＞＞＞＞＞FlyODBG载入后，停在这 004A6005 8B5424 0C mov edx,dword ptr ss:[esp+C] 004A6009 8382 B8000000 0D add dword ptr ds:[edx+B8],0D 004A6010 33C0 xor eax,eax 004A6012 C3 retn 按FLY老大方法，设置OllyDbg忽略所有异常选项。用IsDebug插件去掉OllyDbg的调试器标志。用UnhExcFlt.DLL插件先Patch一下。再Ctrl+G：CheckRemoteDebuggerPresent 77E9582B > 55 push ebp＞＞＞＞＞＞＞＞来到这 77E9582C 8BEC mov ebp,esp 77E9582E 837D 08 00 cmp dword ptr ss:[ebp+8],0 77E95832 56 push esi 77E95833 74 35 je short kernel32.77E9586A 77E95835 8B75 0C mov esi,dword ptr ss:[ebp+C] 77E95838 85F6 test esi,esi 77E9583A 74 2E je short kernel32.77E9586A 77E9583C 6A 00 push 0 77E9583E 6A 04 push 4 77E95840 8D45 08 lea eax,dword ptr ss:[ebp+8] 77E95843 50 push eax 77E95844 6A 07 push 7 77E95846 FF75 08 push dword ptr ss:[ebp+8] 77E95849 FF15 AC10E477 call dword ptr ds:[<&ntdll.NtQueryInfo>; ntdll.ZwQueryInformationProcess 77E9584F 85C0 test eax,eax 77E95851 7D 08 jge short kernel32.77E9585B 77E95853 50 push eax 77E95854 E8 604BFCFF call kernel32.77E5A3B9 77E95859 EB 16 jmp short kernel32.77E95871 77E9585B 33C0 xor eax,eax 77E9585D 3945 08 cmp dword ptr ss:[ebp+8],eax 77E95860 0F95C0 setne al 77E95863 8906 mov dword ptr ds:[esi],eax 77E95865 33C0 xor eax,eax 77E95867 40 inc eax＞＞＞＞＞＞＞＞＞修改为nop 77E95868 EB 09 jmp short kernel32.77E95873 77E9586A 6A 57 push 57 77E9586C E8 924AFCFF call kernel32.77E5A303 77E95871 33C0 xor eax,eax 77E95873 5E pop esi 77E95874 5D pop ebp 77E95875 C2 0800 retn 8 再Ctrl+G：IsProcessorFeaturePresent 77E6131B > 8B4424 04 mov eax,dword ptr ss:[esp+4]＞＞＞＞来到这，与FLY的不同？ 77E6131F 83F8 40 cmp eax,40 77E61322 73 0A jnb short kernel32.77E6132E 77E61324 0FB680 7402FE7F movzx eax,byte ptr ds:[eax+7FFE0274] 77E6132B C2 0400 retn 4 在函数末尾下断，Shift+F9后可中断，再取消断点。再Alt+M 显示内存窗口，在第2个区段00401000段“设置内存访问断点”，再Shift+F9后可以中断，来到： 003A4055 893E mov dword ptr ds:[esi],edi＞＞＞＞＞＞中断在这 003A4057 83C7 0C add edi,0C 003A405A 83C6 04 add esi,4 003A405D 41 inc ecx 003A405E 3B4D 0C cmp ecx,dword ptr ss:[ebp+C] 003A4061 ^ 72 C7 jb short 003A402A 003A4063 833E 00 cmp dword ptr ds:[esi],0 003A4066 75 30 jnz short 003A4098 再Ctrl+F在整个段块搜索命令：test word ptr ds:[esi],20 003A3EBE 56 push esi 003A3EBF 57 push edi 003A3EC0 8B75 10 mov esi,dword ptr ss:[ebp+10] 003A3EC3 8B7D 0C mov edi,dword ptr ss:[ebp+C] 003A3EC6 66:F706 2000 test word ptr ds:[esi],20＞＞＞＞找到这，修改 ①：test word ptr ds:[esi],8 ★ 003A3ECB 74 46 je short 003A3F13＞＞＞＞＞＞＞＞②改je为jne 003A3ECD 66:F706 0200 test word ptr ds:[esi],2 003A3ED2 75 1F jnz short 003A3EF3 003A3ED4 66:C706 0400 mov word ptr ds:[esi],4 003A3ED9 8B45 14 mov eax,dword ptr ss:[ebp+14] 003A3EDC 6A 01 push 1 003A3EDE 6A 00 push 0 003A3EE0 FF76 04 push dword ptr ds:[esi+4] 003A3EE3 6A 00 push 0 003A3EE5 FF75 18 push dword ptr ss:[ebp+18] 003A3EE8 FF50 50 call dword ptr ds:[eax+50] 003A3EEB 85C0 test eax,eax 003A3EED 74 38 je short 003A3F27＞＞＞＞＞＞＞＞③改为je short 003A3F13 003A3EEF 8907 mov dword ptr ds:[edi],eax 003A3EF1 EB 20 jmp short 003A3F13 003A3EF3 66:C706 0400 mov word ptr ds:[esi],4 003A3EF8 8B45 14 mov eax,dword ptr ss:[ebp+14] 003A3EFB 0FB756 02 movzx edx,word ptr ds:[esi+2] 003A3EFF 6A 01 push 1 003A3F01 52 push edx 003A3F02 6A 00 push 0 003A3F04 FF76 04 push dword ptr ds:[esi+4] 003A3F07 FF75 18 push dword ptr ss:[ebp+18] 003A3F0A FF50 50 call dword ptr ds:[eax+50] 003A3F0D 85C0 test eax,eax 003A3F0F 74 16 je short 003A3F27＞＞＞＞＞＞＞＞④改为je short 003A3F13 003A3F11 8907 mov dword ptr ds:[edi],eax 003A3F13 83C6 08 add esi,8 003A3F16 83C7 04 add edi,4 003A3F19 FF4D 08 dec dword ptr ss:[ebp+8] 003A3F1C ^ 75 A8 jnz short 003A3EC6 003A3F1E 33C0 xor eax,eax 003A3F20 40 inc eax 003A3F21 5F pop edi 003A3F22 5E pop esi 003A3F23 5D pop ebp 003A3F24 C2 1400 retn 14 在003A3F24处下断，Shift+F9后输入表处理完毕。再shift+f9后就程序非法操作而中止了 2005-5-9 19:08 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 12 楼第2区段设置内存访问断点，再Shift+F9 也可以处理输入表后不忽略异常看看哪里异常导致退出另外：上面的输入表处理方法不含特殊函数的处理 2005-5-9 19:20 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 13 楼下载一个去试试 2005-5-9 19:46 0
qq2003 雪币： 277 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 73 粉丝 0 关注私信	qq2003 14 楼收藏文章好好学习学习！ 2005-5-10 18:14 0
od破解雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 31 粉丝 0 关注私信	od破解 15 楼按FLY老大的步骤,我的为什么不一样呀,如果打补丁,只是把77E461A2 0F85 15040000 jnz kernel32.77E465BD 这里的JNZ改为NOP,运行还是直接退出,想手动改,但不知该改那个跳转,我用的系统是WIN2003的,另我用我的PEID092检测不出是什么加的壳,只显示"没有找到什么[重叠].那位老大给看一下 77E46157 > 68 F4040000 push 4F4 77E4615C 68 484EE577 push kernel32.77E54E48 77E46161 E8 90B5FCFF call kernel32.77E116F6 77E46166 6A 04 push 4 77E46168 5B pop ebx 77E46169 895D E0 mov dword ptr ss:[ebp-20],ebx 77E4616C 8B75 08 mov esi,dword ptr ss:[ebp+8] 77E4616F 8B06 mov eax,dword ptr ds:[esi] 77E46171 33FF xor edi,edi 77E46173 8138 050000C0 cmp dword ptr ds:[eax],C0000005 77E46179 75 09 jnz short kernel32.77E46184 77E4617B 3978 14 cmp dword ptr ds:[eax+14],edi 77E4617E ^ 0F85 A7FEFFFF jnz kernel32.77E4602B 77E46184 897D DC mov dword ptr ss:[ebp-24],edi 77E46187 57 push edi 77E46188 53 push ebx 77E46189 8D45 DC lea eax,dword ptr ss:[ebp-24] 77E4618C 50 push eax 77E4618D 6A 07 push 7 77E4618F E8 86BBFCFF call kernel32.GetCurrentProcess 77E46194 50 push eax 77E46195 FF15 B810E177 call dword ptr ds:[<&ntdll.NtQueryInform>; ntdll.ZwQueryInformationProcess 77E4619B 85C0 test eax,eax 77E4619D 7C 09 jl short kernel32.77E461A8 77E4619F 397D DC cmp dword ptr ss:[ebp-24],edi 77E461A2 0F85 15040000 jnz kernel32.77E465BD 77E461A8 A1 10E2E877 mov eax,dword ptr ds:[77E8E210] 77E461AD 3BC7 cmp eax,edi 77E461AF 74 15 je short kernel32.77E461C6 77E461B1 56 push esi 77E461B2 FFD0 call eax 77E461B4 83F8 01 cmp eax,1 77E461B7 0F84 02040000 je kernel32.77E465BF 77E461BD 83F8 FF cmp eax,-1 77E461C0 0F84 F9030000 je kernel32.77E465BF 77E461C6 E8 42C5FCFF call kernel32.77E1270D 77E461CB A8 02 test al,2 77E461CD 0F85 28040000 jnz kernel32.77E465FB 77E461D3 E8 77110000 call <jmp.&ntdll.RtlGetThreadErrorMode> 77E461D8 A8 20 test al,20 77E461DA 0F85 1B040000 jnz kernel32.77E465FB 77E461E0 57 push edi 77E461E1 6A 30 push 30 77E461E3 8D85 04FFFFFF lea eax,dword ptr ss:[ebp-FC] 77E461E9 50 push eax 77E461EA 6A 02 push 2 77E461EC 57 push edi 77E461ED FF15 7C15E177 call dword ptr ds:[<&ntdll.NtQueryInform>; ntdll.ZwQueryInformationJobObject 77E461F3 85C0 test eax,eax 77E461F5 0F8D F3030000 jge kernel32.77E465EE 77E461FB 8B06 mov eax,dword ptr ds:[esi] 77E461FD 8B08 mov ecx,dword ptr ds:[eax] 77E461FF 894D 9C mov dword ptr ss:[ebp-64],ecx 77E46202 8B48 0C mov ecx,dword ptr ds:[eax+C] 77E46205 894D A0 mov dword ptr ss:[ebp-60],ecx 77E46208 8138 060000C0 cmp dword ptr ds:[eax],C0000006 77E4620E ^ 0F84 2FFEFFFF je kernel32.77E46043 2005-5-18 13:43 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 16 楼 1、不同系统平台的anti未必一样，Win2000下没有CheckRemoteDebuggerPresent，Win2K3有没有这个不清楚 2、超级自动注册申请王升级了吧，加入了自校验 2005-5-18 13:51 0
od破解雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 31 粉丝 0 关注私信	od破解 17 楼谢谢老大，我又重新跟了一下，出现以下的问题，望给予帮助在WINDOWS2003下有CheckRemoteDebuggerPresent函数，我在此处和IsProcessorFeaturePresent处下断。从UnhandledExceptionFilter函数出来后返回到下面代码： 77F35275 0AC0 or al,al 77F35277 74 0C je short ntdll.77F35285（此处不跳） 77F35279 5B pop ebx 77F3527A 59 pop ecx 77F3527B 6A 00 push 0 77F3527D 51 push ecx 77F3527E E8 D0FFFFFF call ntdll.ZwContinue 从此处进入，代码如下： 77F35253 > B8 22000000 mov eax,22 77F35258 BA 0003FE7F mov edx,7FFE0300 77F3525D FFD2 call edx 77F3525F C2 0800 retn 8 从CALL处进入，代码如下： 7FFE0300 8BD4 mov edx,esp 7FFE0302 0F34 sysenter 7FFE0304 C3 retn 在SYSENTER命令处不知该如何跟踪，F8或F9运行就退出，不能达到断点处。 2005-5-22 17:12 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 18 楼始终建议：你可以找教程中的例子跟随教程演示一下另外，不清楚Obsidium在Win2K3是否有其他anti方式 2005-5-22 17:53 0
od破解雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 31 粉丝 0 关注私信	od破解 19 楼我就是用的1.9版的,在我单位的XP专业版上也是同样的情况,且没有CheckRemoteDebuggerPresent函数能否给出SYSENTER函数的常规拦截方法,谢谢 2005-5-23 07:21 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 20 楼 sysenter是系统异常处理 XP上没有CheckRemoteDebuggerPresent函数？SP2有，没有更好不行就放弃吧放弃也是不错的选择 2005-5-23 09:23 0
od破解雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 31 粉丝 0 关注私信	od破解 21 楼知道了，不能给自己找麻烦 2005-5-23 09:49 0
只喝芬达的狗雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 60 粉丝 0 关注私信	只喝芬达的狗 22 楼在PE Header下面的第2区段设置内存访问断点。Shift+F9中断下来取消断点 00B68155 893E mov dword ptr ds:[esi],edi //中断在这里这个东西升级了，我用的其他的程序，在pe header下面的第2个区段设置断点断到后却不是你说的地方，而是 0090E183 8B06 mov eax,dword ptr ds:[esi] //断在这 0090E185 85C0 test eax,eax 0090E187 74 18 je short 0090E1A1 是不是程序不一样的原因呢？ 2005-6-5 23:15 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 23 楼最初由只喝芬达的狗发布这个东西升级了，我用的其他的程序，在pe header下面的第2个区段设置断点断到后却不是你说的地方，而是 ........ 我记得我是下在401000的 2005-6-5 23:28 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 24 楼 PE Header下面的第2区段这里是00401000 另外：听说新版加了不少检验，小心重启 2005-6-5 23:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复