首页
社区
课程
招聘
大牛请指教 如何过异常自校验 外链无需Kx
发表于: 2012-5-13 01:02 7581

大牛请指教 如何过异常自校验 外链无需Kx

2012-5-13 01:02
7581
我怒了,一个小程序,如何过异常自校验,蛋碎一地了,大牛给个原理教程,我只是想把弹窗去掉实在是恶心的弹窗

http://115.com/file/dpnw8q6r#
过exe自校验.rar

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (15)
雪    币: 5152
活跃值: (3382)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
断在退出程序之前~~~回逆上去不行么~
2012-5-13 04:40
0
雪    币: 437
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
有 病毒。。。。。
2012-5-13 09:03
0
雪    币: 443
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
打开电脑就死机
2012-5-13 10:19
0
雪    币: 2792
活跃值: (2588)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
5
00401FE0   .  8B4424 14     MOV EAX,DWORD PTR SS:[ESP+14]
00401FE4   .  8B5424 10     MOV EDX,DWORD PTR SS:[ESP+10]
00401FE8   .  50            PUSH EAX
00401FE9   .  8B4424 10     MOV EAX,DWORD PTR SS:[ESP+10]
00401FED   .  52            PUSH EDX
00401FEE   .  8B5424 10     MOV EDX,DWORD PTR SS:[ESP+10]
00401FF2   .  50            PUSH EAX
00401FF3   .  8B4424 10     MOV EAX,DWORD PTR SS:[ESP+10]
00401FF7   .  52            PUSH EDX
00401FF8   .  50            PUSH EAX
00401FF9   .  68 C0374000   PUSH 测试.004037C0
00401FFE   .  6A 00         PUSH 0
00402000   .  6A 00         PUSH 0
00402002   .  6A 01         PUSH 1
00402004   .  6A 68         PUSH 68
00402006   .  51            PUSH ECX
00402007   .  E8 88020000   CALL <JMP.&MFC42.#4034_?InvokeHelper@CWnd@@QAAXJGGPAXPBEZZ>
0040200C   .  83C4 2C       ADD ESP,2C
0040200F   .  C2 1400       RETN 14

LZ这两个弹窗是通过COM组件调用弹出来的,你可以断一下
IWebBrowser2->Navigate
IWebBrowser2->Navigate2
两个函数,或者直接写个DLL劫持hook这两个函数

可以参考这个
http://hi.baidu.com/z87123688/blog/item/ffcad51b9dd9d9caac6e7545.html

如果是自己用的话,下一个MD,阻止它调用COM组件就行了

或者你直接修改host文件

0013F7F8   004033BC  ASCII "www.231mxd.com"
2012-5-13 12:53
0
雪    币: 1007
活跃值: (992)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
感谢大家帮忙 5楼的老大给的很详细 再次感谢 我自己使用是没问题 直接hook InvokeHelper

可是为什么修改pe保存后就无法运行了呢?原理是什么呢?貌似很强大的自校验哦
2012-5-13 15:51
0
雪    币: 1007
活跃值: (992)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
程序是没有问题的 VC5的编译器编译的
2012-5-13 15:52
0
雪    币: 1007
活跃值: (992)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
亲 这个不是病毒
2012-5-13 15:52
0
雪    币: 1007
活跃值: (992)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
异常直接结束 不经过任何api 该如何下断?
2012-5-13 15:54
0
雪    币: 2792
活跃值: (2588)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
10
的确有自校验,功力不够加了VM的,真心不会

用LordPE修正校验和,就不会退出了,输入表中有MapFileAndCheckSumA
2012-5-13 17:08
0
雪    币: 1007
活跃值: (992)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
修正了还是会退出 郁闷 貌似还有文件大小校验
2012-5-13 23:35
0
雪    币: 2792
活跃值: (2588)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
12


测试1.7z

我这样确实没有改变文件大小
上传的附件:
2012-5-14 12:10
0
雪    币: 3741
活跃值: (1792)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
调用MapFileAndCheckSumA 校验和文件是否被修改的。
如楼上的方法就可以的,修改完,然后LOADPE PE编辑器里面的 校验和 后面的“?”点一下就是新的,然后点保存点确定,我估计你肯定不是这样做的。
2012-5-15 14:15
0
雪    币: 1007
活跃值: (992)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
感谢大家热心帮助,改变下大小 就悲剧了!
2012-5-15 22:05
0
雪    币: 2792
活跃值: (2588)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
15
试过了,加区段,然后改校验值都没有问题
2012-5-16 17:09
0
雪    币: 1007
活跃值: (992)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
功力不够还是要下苦功啊 感谢大家帮助 散分 散花
2012-6-24 21:27
0
游客
登录 | 注册 方可回帖
返回
//