[求助][求助]一个VB程序破解过程中的暗桩-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
BlueT 雪币： 517 活跃值： (35) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 883 粉丝 0 关注私信	BlueT 2 2 楼从代码看，你所指的位置肯定是错误的。 2011-10-26 12:32 0
rock 雪币： 225 活跃值： (188) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 323 粉丝 1 关注私信	rock 3 楼楼上说得对，我写错了 004BFE99 是比较有没有注册信息 004BFEFD 是比较时间我在004BFE99 修改跳转，结果就程序就退出了。 2011-10-26 13:50 0
rock 雪币： 225 活跃值： (188) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 323 粉丝 1 关注私信	rock 4 楼再求助，等指导 2011-10-28 08:38 0
七夜血雪币： 248 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	七夜血 5 楼 004BFF78 . 85C0 test eax, eax 004BFF7A . 74 07 je short 004BFF83 //让它跳过去，下面有个退出也让其跳过或者nop掉 004BFF7C . E9 76050000 jmp 004C04F7 004BFF81 . EB 10 jmp short 004BFF93 004BFF83 > C745 FC 1D000>mov dword ptr [ebp-4], 1D 004BFF8A . 66:C705 24506>mov word ptr [635024], 0 004BFF93 > C745 FC 20000>mov dword ptr [ebp-4], 20 004BFF9A . 8D4D D4 lea ecx, dword ptr [ebp-2C] 004BFF9D . 51 push ecx 004BFF9E . 8B55 08 mov edx, dword ptr [ebp+8] 004BFFA1 . 8B02 mov eax, dword ptr [edx] 004BFFA3 . 8B4D 08 mov ecx, dword ptr [ebp+8] 004BFFA6 . 51 push ecx 004BFFA7 . FF90 64070000 call dword ptr [eax+764] 004BFFAD . 8B55 D4 mov edx, dword ptr [ebp-2C] 跳过退出 004C0492 . 66:833D 1C506>cmp word ptr [63501C], 0FFFF ; \| 004C049A . 75 0D jnz short 004C04A9 ; \|让其跳过 004C049C . C745 FC 31000>mov dword ptr [ebp-4], 31 ; \| 004C04A3 . FF15 4C104000 call dword ptr [<&MSVBVM60.__vbaEnd>] ; \__vbaEnd 004C04A9 > C745 FC 33000>mov dword ptr [ebp-4], 33 004C04B0 . 66:C705 26506>mov word ptr [635026], 0 004C04B9 . C745 FC 34000>mov dword ptr [ebp-4], 34 004C04C0 . 8B15 2C506300 mov edx, dword ptr [63502C] 退出是会有个提示程序窗口居然不能移动，不知道是不是修改的原因 2011-10-28 13:58 0
BlueT 雪币： 517 活跃值： (35) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 883 粉丝 0 关注私信	BlueT 2 6 楼不知道如何使用？ 2011-10-28 20:59 0
dzgz 雪币： 209 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 1 关注私信	dzgz 7 楼比较时间不是那个地方. 2011-10-28 23:20 0
rock 雪币： 225 活跃值： (188) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 323 粉丝 1 关注私信	rock 8 楼搞定谢谢七夜血的指点退出是会有个提示，JUM过去就行了 2011-10-31 14:48 0
marstj 雪币： 193 活跃值： (276) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 54 粉丝 3 关注私信	marstj 9 楼 rMultiByteToWideChar, rtcR8ValFromBstr, WideCharToMultiByte, __vbaStrCmp __vbaStrComp __vbaStrCopy __vbaStrMove __vbaVarTstNe rtcBeep rtcGetPresentDate rtcMsgBox __vbaEND 为调试VB程序的常用断点，本程序用rtcMsgBox __vbaEND 就OK 程序的修改如下 cs:4bff7a jz 4bff83 改为jmp 4bff883 cs:4c049a jnz 4c04a9 改为 jmp 4c04a9 cs:4c142c jnz 4c151d 改为jmp 4c151d 2011-11-1 11:41 0
XiaoAiWhc 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 23 粉丝 0 关注私信	XiaoAiWhc 10 楼我一般是先用SmartCheck跑跑看，找到关键点，再用OD 2011-11-1 15:06 0
ttgood 雪币： 386 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 218 粉丝 0 关注私信	ttgood 11 楼好办法。。。 2011-11-1 17:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

BlueT

雪币： 517

活跃值： (35)

能力值：

( LV6，RANK：90 )

在线值：

发帖

8

回帖

883

粉丝

0

关注

私信

BlueT 2: 2 楼

从代码看，你所指的位置肯定是错误的。

2011-10-26 12:32

0

rock

雪币： 225

活跃值： (188)

能力值：

( LV2，RANK：10 )

在线值：

发帖

28

回帖

323

粉丝

1

关注

私信

rock: 3 楼

楼上说得对，我写错了

004BFE99  是比较有没有注册信息

004BFEFD  是比较时间

我在004BFE99  修改跳转，结果就程序就退出了。

2011-10-26 13:50

0

rock

雪币： 225

活跃值： (188)

能力值：

( LV2，RANK：10 )

在线值：

发帖

28

回帖

323

粉丝

1

关注

私信

rock: 4 楼

再求助，等指导

2011-10-28 08:38

0

七夜血

雪币： 248

活跃值： (118)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

43

粉丝

0

关注

私信

七夜血: 5 楼

004BFF78   .  85C0          test    eax, eax
004BFF7A   .  74 07         je      short 004BFF83   //让它跳过去，下面有个退出也让其跳过或者nop掉
004BFF7C   .  E9 76050000   jmp     004C04F7
004BFF81   .  EB 10         jmp     short 004BFF93
004BFF83   >  C745 FC 1D000>mov     dword ptr [ebp-4], 1D
004BFF8A   .  66:C705 24506>mov     word ptr [635024], 0
004BFF93   >  C745 FC 20000>mov     dword ptr [ebp-4], 20
004BFF9A   .  8D4D D4       lea     ecx, dword ptr [ebp-2C]
004BFF9D   .  51            push    ecx
004BFF9E   .  8B55 08       mov     edx, dword ptr [ebp+8]
004BFFA1   .  8B02          mov     eax, dword ptr [edx]
004BFFA3   .  8B4D 08       mov     ecx, dword ptr [ebp+8]
004BFFA6   .  51            push    ecx
004BFFA7   .  FF90 64070000 call    dword ptr [eax+764]
004BFFAD   .  8B55 D4       mov     edx, dword ptr [ebp-2C]

跳过退出

004C0492   .  66:833D 1C506>cmp     word ptr [63501C], 0FFFF         ; |
004C049A   .  75 0D         jnz     short 004C04A9                   ; |让其跳过
004C049C   .  C745 FC 31000>mov     dword ptr [ebp-4], 31            ; |
004C04A3   .  FF15 4C104000 call    dword ptr [<&MSVBVM60.__vbaEnd>] ; \__vbaEnd
004C04A9   >  C745 FC 33000>mov     dword ptr [ebp-4], 33
004C04B0   .  66:C705 26506>mov     word ptr [635026], 0
004C04B9   .  C745 FC 34000>mov     dword ptr [ebp-4], 34
004C04C0   .  8B15 2C506300 mov     edx, dword ptr [63502C]

退出是会有个提示

程序窗口居然不能移动，不知道是不是修改的原因

2011-10-28 13:58

0

BlueT

雪币： 517

活跃值： (35)

能力值：

( LV6，RANK：90 )

在线值：

发帖

8

回帖

883

粉丝

0

关注

私信

BlueT 2: 6 楼

不知道如何使用？

2011-10-28 20:59

0

dzgz

雪币： 209

活跃值： (24)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

13

粉丝

1

关注

私信

dzgz: 7 楼

比较时间不是那个地方.

2011-10-28 23:20

0

rock

雪币： 225

活跃值： (188)

能力值：

( LV2，RANK：10 )

在线值：

发帖

28

回帖

323

粉丝

1

关注

私信

rock: 8 楼

搞定
谢谢七夜血的指点

退出是会有个提示，JUM过去就行了

2011-10-31 14:48

0

marstj

雪币： 193

活跃值： (276)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

54

粉丝

3

关注

私信

marstj: 9 楼

rMultiByteToWideChar,
rtcR8ValFromBstr,
WideCharToMultiByte,
__vbaStrCmp
__vbaStrComp
__vbaStrCopy
__vbaStrMove
__vbaVarTstNe
rtcBeep
rtcGetPresentDate
rtcMsgBox
__vbaEND
为调试VB程序的常用断点，本程序用rtcMsgBox
__vbaEND 就OK

程序的修改如下

cs:4bff7a jz 4bff83 改为jmp 4bff883
cs:4c049a jnz 4c04a9 改为 jmp 4c04a9
cs:4c142c jnz 4c151d 改为jmp 4c151d

2011-11-1 11:41

0