能力值:
( LV12,RANK:980 )
|
-
-
2 楼
不敢玩:)
|
能力值:
( LV4,RANK:50 )
|
-
-
3 楼
呵呵
|
能力值:
( LV9,RANK:1210 )
|
-
-
4 楼
最初由 csjwaman 发布 不敢玩:)
安全的。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
|
能力值:
(RANK:350 )
|
-
-
6 楼
谢谢softworm费心,一个非常有意思的技巧,以前只是听说,没实际跟过.看来以后采用这技巧的程序会多起来了.
|
能力值:
( LV4,RANK:50 )
|
-
-
7 楼
不看代码都不知道怎么下断点
如果配合花指令,那就更难发现了
|
能力值:
( LV4,RANK:50 )
|
-
-
8 楼
|
能力值:
( LV4,RANK:50 )
|
-
-
9 楼
最初由 堀北真希 发布 完全有效, 中招了
千年难得那么一回,美女也中招了
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
学习。。。明天仔细研究
|
能力值:
( LV9,RANK:170 )
|
-
-
11 楼
我也不敢玩
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
没有什么技术,实在不敢恭维。。。下下来看看吧
|
能力值:
( LV9,RANK:290 )
|
-
-
13 楼
将API的代码复制到新申请到的内存空间去执行,再下断点当然无效啦.
00A2CCDE 8BFF mov edi, edi
00A2CCE0 55 push ebp
00A2CCE1 8BEC mov ebp, esp
00A2CCE3 833D 1821E777 0>cmp dword ptr [77E72118], 0
00A2CCEA 74 24 je short 00A2CD10
00A2CCEC 64:A1 18000000 mov eax, fs:[18]
00A2CCF2 6A 00 push 0
00A2CCF4 FF70 24 push dword ptr [eax+24]
00A2CCF7 68 442FE777 push 77E72F44
00A2CCFC FF15 D012E177 call [<&KERNEL32.InterlockedCompareEx>; kernel32.InterlockedCompareExchange
00A2CD02 85C0 test eax, eax
00A2CD04 75 0A jnz short 00A2CD10
00A2CD06 C705 402FE777 0>mov dword ptr [77E72F40], 1
00A2CD10 6A 00 push 0
00A2CD12 FF75 14 push dword ptr [ebp+14]
00A2CD15 FF75 10 push dword ptr [ebp+10]
00A2CD18 FF75 0C push dword ptr [ebp+C]
00A2CD1B FF75 08 push dword ptr [ebp+8]
00A2CD1E E8 4D040000 call 00A2D170
00A2CD23 5D pop ebp
00A2CD24 C2 1000 retn 10
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
不懂 没干看
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
00974587 FF35 90D3E477 push dword ptr ds:[77E4D390] ; user32.77DF0000
user32.77DF0000
->
00401122 |. 68 3C504000 push MessageB.0040503C ; ASCII "MessageBoxA"
00401127 |. 68 30504000 push MessageB.00405030
0040112C |. 6A 00 push 0
0040112E |. FFD0 call eax
00401130 |. 68 00800000 push 8000 ; /FreeType = MEM_RELEASE
00401135 |. 6A 00 push 0 ; |Size = 0
00401137 |. 57 push edi ; |Address
00401138 |. FF15 04404000 call dword ptr ds:[<&KERNEL32.VirtualFre>; \VirtualFree
ASCII "MessageBoxA"
那就断这个试试:
KERNEL32.VirtualFree
|
能力值:
( LV9,RANK:2130 )
|
-
-
16 楼
themida大有杀鸡取卵之嫌.
|
能力值:
( LV8,RANK:130 )
|
-
-
17 楼
恩,先取MessageBoxA的代码,然后放到其他内存地址然后去CALL
恩,我的方法是
1,找到他申请空间的地方然后执行访问中断
2,是将MessageBoxA代码复制部分,然后再他执行到窗口出来的时候,进行下代码查找,就可以知道他的代码复制到哪个地方,然后下硬件执行,关闭再装载就可以断下来了
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
Themida.exe | 00A9D0F4 | LoadLibraryA(00A9C346: "USER32.dll") returns: 77D10000
Themida.exe | 00A9D0FE | LoadLibraryA(00A9C351: "ADVAPI32.dll") returns: 77DA0000
Themida.exe | 00A9D112 | LoadLibraryA(00A9C35E: "NTDLL.dll") returns: 7C920000
Themida.exe | 00AB78B6 | GetSystemDirectoryA(009BE557, 00000104) returns: 00000013
Themida.exe | 00AB78F2 | CreateFileA(009BE557: "D:\WINDOWS\system32\KERNEL32.dll", 80000000, 00000001, 00000000, 00000003, 00000004, 00000000) returns: 00000044
Themida.exe | 00AB78FC | GetFileSize(00000044, 00000000) returns: 00117600
Themida.exe | 00AB7906 | VirtualAlloc(00000000, 00117600, 00001000, 00000040) returns: 014B0000
Themida.exe | 00AB7910 | ReadFile(00000044, 014B0000, 00117600, 009BEBBB, 00000000) returns: 00000001
Themida.exe | 00AB78F2 | CreateFileA(009BE557: "D:\WINDOWS\system32\USER32.dll", 80000000, 00000001, 00000000, 00000003, 00000004, 00000000) returns: 00000048
Themida.exe | 00AB78FC | GetFileSize(00000048, 00000000) returns: 0008C000
Themida.exe | 00AB7906 | VirtualAlloc(00000000, 0008C000, 00001000, 00000040) returns: 001A0000
Themida.exe | 00AB7910 | ReadFile(00000048, 001A0000, 0008C000, 009BEBBB, 00000000) returns: 00000001
Themida.exe | 00AB78F2 | CreateFileA(009BE557: "D:\WINDOWS\system32\ADVAPI32.dll", 80000000, 00000001, 00000000, 00000003, 00000004, 00000000) returns: 0000004C
Themida.exe | 00AB78FC | GetFileSize(0000004C, 00000000) returns: 000A4A00
Themida.exe | 00AB7906 | VirtualAlloc(00000000, 000A4A00, 00001000, 00000040) returns: 015D0000
Themida.exe | 00AB7910 | ReadFile(0000004C, 015D0000, 000A4A00, 009BEBBB, 00000000) returns: 00000001
Themida.exe | 00AB78D4 | CloseHandle(0000004C) returns: 00000001
Themida.exe | 00AB78DE | CloseHandle(00000048) returns: 00000001
Themida.exe | 00AB78E8 | CloseHandle(00000044) returns: 00000001
动作太过明显,申请的位置可以改的,所以......
|
能力值:
( LV8,RANK:130 )
|
-
-
19 楼
请问一下...q3兄用的是什么工具得到上面的数据?
感觉这样GetFileSize不是很保险...访问数据段,重定位等等都存在问题吧!
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
不懂
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
最初由 Lenus 发布 请问一下...q3兄用的是什么工具得到上面的数据?
感觉这样GetFileSize不是很保险...访问数据段,重定位等等都存在问题吧!
http://wasm.ru/baixado.php?mode=tool&id=313
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
想下载一下看看是什么东西
|
能力值:
( LV6,RANK:90 )
|
-
-
23 楼
楼主费心了!支持!
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
下来看看先~~~顶个!
|
能力值:
( LV2,RANK:10 )
|
-
-
25 楼
是汇编写的吗?
|