能力值:
( LV9,RANK:3410 )
|
-
-
2 楼
CopyMem-II吧
|
能力值:
( LV4,RANK:50 )
|
-
-
3 楼
Fly再来一篇修复Move替换的~!
|
能力值:
( LV9,RANK:170 )
|
-
-
4 楼
最初由 fly 发布 CopyMem-II吧
是呀。能帮我看下吗
|
能力值:
( LV9,RANK:3410 )
|
-
-
5 楼
看雪论坛精华6
Armadillo
CopyMem-II
|
能力值:
( LV9,RANK:170 )
|
-
-
6 楼
昨天在找magic imp时有误,F9未按到位,今天又来了一上年,重新看了各文章,还是不行。
0012BE84 00AA6A5E 返回到 00AA6A5E 来自 kernel32.GetModuleHandleA
0012BE88 0012BFC0 ASCII "kernel32.dll"
0012BE84 00AA6A5E 返回到 00AA6A5E 来自 kernel32.GetModuleHandleA
0012BE88 0012BFC0 ASCII "user32.dll"
0012BE84 00AA6A5E 返回到 00AA6A5E 来自 kernel32.GetModuleHandleA
0012BE88 0012BFC0 ASCII "MSVBVM60.DLL"
0012B77C 66001BB1 返回到 66001BB1 来自 kernel32.GetModuleHandleA
0012B780 66003DA8 ASCII "kernel32.dll"
0012B770 66002848 返回到 66002848 来自 kernel32.GetModuleHandleA
0012B774 66003DD4 ASCII "KERNEL32"
0012B768 660031FB 返回到 660031FB 来自 kernel32.GetModuleHandleA
0012B76C 00000000
0012BE84 00AA6A5E 返回到 00AA6A5E 来自 kernel32.GetModuleHandleA
0012BE88 0012BFC0 ASCII "advapi32.dll"
之后,按F9或shift+F9都无法通过,有“递归链太长?”的字样后,程序退出。??????
用其它的方法,WaitForDebugEven找到OEP后,he WaitForDebugEvent,运行停住。回到壳空间,查找常数FFFFFFF8,没有看到“83BD D0F5FFFF 00 cmp dword ptr ss:[ebp-A30],0 //这就是tDasm大侠文中提到的关键代码”这关键码?????
0060735C E8 720E79F1 call F1D981D3
00607361 FF15 00790974 call dword ptr ds:[74097900]
00607367 F0:EB 87 lock jmp short XPStyle.006072F1 ; 不允许锁定前缀
0060736A DB7A F0 fstp tbyte ptr ds:[edx-10]
0060736D A0 336183BD mov al,byte ptr ds:[BD836133]
00607372 E8 F2FFFF00 call 01607369
00607377 0F8C 21010000 jl XPStyle.0060749E
0060737D 8B8D E8F2FFFF mov ecx,dword ptr ss:[ebp-D18]
00607383 3B0D DC1A6300 cmp ecx,dword ptr ds:[631ADC]
00607389 0F8D 0F010000 jge XPStyle.0060749E
0060738F 6A 00 push 0
00607391 8BB5 E8F2FFFF mov esi,dword ptr ss:[ebp-D18]
00607397 C1E6 04 shl esi,4
0060739A 8B95 E8F2FFFF mov edx,dword ptr ss:[ebp-D18]
006073A0 81E2 07000080 and edx,80000007
006073A6 79 05 jns short XPStyle.006073AD
006073A8 4A dec edx
006073A9 83CA F8 or edx,FFFFFFF8 //搜到的常数
006073AC 42 inc edx
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
我脱个老外的音频转换软件时,用fly老大的方法,改magic imp为JMP了,再在401000下内存短点,断下,就OK了,DUMP+修复就OK了
|
能力值:
( LV9,RANK:3410 )
|
-
-
8 楼
搜索命令:or eax,0FFFFFFF8
|
能力值:
( LV9,RANK:170 )
|
-
-
9 楼
那再看看
|
能力值:
( LV9,RANK:170 )
|
-
-
10 楼
最初由 tom123 发布 我脱个老外的音频转换软件时,用fly老大的方法,改magic imp为JMP了,再在401000下内存短点,断下,就OK了,DUMP+修复就OK了
是双进程的吗
|
|
|