首页
社区
课程
招聘
一个小花招
发表于: 2006-4-6 20:42 15132

一个小花招

2006-4-6 20:42
15132
收藏
免费 7
支持
分享
最新回复 (39)
雪    币: 319
活跃值: (2459)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
2
不敢玩:)
2006-4-6 20:47
0
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
呵呵
2006-4-6 20:51
0
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
4
最初由 csjwaman 发布
不敢玩:)


安全的。
2006-4-6 20:54
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
这一招驱动版里就有了,不怕断点,但对野猪力量无效.
2006-4-6 21:00
0
雪    币: 47147
活跃值: (20450)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
6
谢谢softworm费心,一个非常有意思的技巧,以前只是听说,没实际跟过.看来以后采用这技巧的程序会多起来了.
2006-4-6 21:05
0
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
不看代码都不知道怎么下断点

如果配合花指令,那就更难发现了
2006-4-6 21:22
0
雪    币: 207
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
最初由 q3 watcher 发布
这一招驱动版里就有了,不怕断点,但对野猪力量无效.


完全有效, 中招了
2006-4-6 22:01
0
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
9
最初由 堀北真希 发布
完全有效, 中招了


千年难得那么一回,美女也中招了
2006-4-6 22:04
0
雪    币: 207
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
学习。。。明天仔细研究
2006-4-6 22:31
0
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
11
我也不敢玩
2006-4-7 01:16
0
雪    币: 150
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
没有什么技术,实在不敢恭维。。。下下来看看吧
2006-4-7 01:20
0
雪    币: 279
活跃值: (145)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
13
将API的代码复制到新申请到的内存空间去执行,再下断点当然无效啦.
00A2CCDE    8BFF            mov     edi, edi
00A2CCE0    55              push    ebp
00A2CCE1    8BEC            mov     ebp, esp
00A2CCE3    833D 1821E777 0>cmp     dword ptr [77E72118], 0
00A2CCEA    74 24           je      short 00A2CD10
00A2CCEC    64:A1 18000000  mov     eax, fs:[18]
00A2CCF2    6A 00           push    0
00A2CCF4    FF70 24         push    dword ptr [eax+24]
00A2CCF7    68 442FE777     push    77E72F44
00A2CCFC    FF15 D012E177   call    [<&KERNEL32.InterlockedCompareEx>; kernel32.InterlockedCompareExchange
00A2CD02    85C0            test    eax, eax
00A2CD04    75 0A           jnz     short 00A2CD10
00A2CD06    C705 402FE777 0>mov     dword ptr [77E72F40], 1
00A2CD10    6A 00           push    0
00A2CD12    FF75 14         push    dword ptr [ebp+14]
00A2CD15    FF75 10         push    dword ptr [ebp+10]
00A2CD18    FF75 0C         push    dword ptr [ebp+C]
00A2CD1B    FF75 08         push    dword ptr [ebp+8]
00A2CD1E    E8 4D040000     call    00A2D170
00A2CD23    5D              pop     ebp
00A2CD24    C2 1000         retn    10

2006-4-7 09:01
0
雪    币: 181
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
不懂 没干看
2006-4-7 09:55
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
00974587    FF35 90D3E477   push dword ptr ds:[77E4D390]             ; user32.77DF0000

user32.77DF0000

->
00401122  |.  68 3C504000   push MessageB.0040503C                   ;  ASCII "MessageBoxA"
00401127  |.  68 30504000   push MessageB.00405030
0040112C  |.  6A 00         push 0
0040112E  |.  FFD0          call eax
00401130  |.  68 00800000   push 8000                                ; /FreeType = MEM_RELEASE
00401135  |.  6A 00         push 0                                   ; |Size = 0
00401137  |.  57            push edi                                 ; |Address
00401138  |.  FF15 04404000 call dword ptr ds:[<&KERNEL32.VirtualFre>; \VirtualFree

ASCII "MessageBoxA"

那就断这个试试:
KERNEL32.VirtualFree

2006-4-7 10:02
0
雪    币: 556
活跃值: (2303)
能力值: ( LV9,RANK:2130 )
在线值:
发帖
回帖
粉丝
16

themida大有杀鸡取卵之嫌.
2006-4-7 11:01
0
雪    币: 226
活跃值: (214)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
17
恩,先取MessageBoxA的代码,然后放到其他内存地址然后去CALL

恩,我的方法是
1,找到他申请空间的地方然后执行访问中断
2,是将MessageBoxA代码复制部分,然后再他执行到窗口出来的时候,进行下代码查找,就可以知道他的代码复制到哪个地方,然后下硬件执行,关闭再装载就可以断下来了
2006-4-7 12:02
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
Themida.exe  | 00A9D0F4 | LoadLibraryA(00A9C346: "USER32.dll") returns: 77D10000
Themida.exe  | 00A9D0FE | LoadLibraryA(00A9C351: "ADVAPI32.dll") returns: 77DA0000
Themida.exe  | 00A9D112 | LoadLibraryA(00A9C35E: "NTDLL.dll") returns: 7C920000

Themida.exe  | 00AB78B6 | GetSystemDirectoryA(009BE557, 00000104) returns: 00000013
Themida.exe  | 00AB78F2 | CreateFileA(009BE557: "D:\WINDOWS\system32\KERNEL32.dll", 80000000, 00000001, 00000000, 00000003, 00000004, 00000000) returns: 00000044
Themida.exe  | 00AB78FC | GetFileSize(00000044, 00000000) returns: 00117600
Themida.exe  | 00AB7906 | VirtualAlloc(00000000, 00117600, 00001000, 00000040) returns: 014B0000
Themida.exe  | 00AB7910 | ReadFile(00000044, 014B0000, 00117600, 009BEBBB, 00000000) returns: 00000001
Themida.exe  | 00AB78F2 | CreateFileA(009BE557: "D:\WINDOWS\system32\USER32.dll", 80000000, 00000001, 00000000, 00000003, 00000004, 00000000) returns: 00000048
Themida.exe  | 00AB78FC | GetFileSize(00000048, 00000000) returns: 0008C000
Themida.exe  | 00AB7906 | VirtualAlloc(00000000, 0008C000, 00001000, 00000040) returns: 001A0000
Themida.exe  | 00AB7910 | ReadFile(00000048, 001A0000, 0008C000, 009BEBBB, 00000000) returns: 00000001
Themida.exe  | 00AB78F2 | CreateFileA(009BE557: "D:\WINDOWS\system32\ADVAPI32.dll", 80000000, 00000001, 00000000, 00000003, 00000004, 00000000) returns: 0000004C
Themida.exe  | 00AB78FC | GetFileSize(0000004C, 00000000) returns: 000A4A00
Themida.exe  | 00AB7906 | VirtualAlloc(00000000, 000A4A00, 00001000, 00000040) returns: 015D0000
Themida.exe  | 00AB7910 | ReadFile(0000004C, 015D0000, 000A4A00, 009BEBBB, 00000000) returns: 00000001
Themida.exe  | 00AB78D4 | CloseHandle(0000004C) returns: 00000001
Themida.exe  | 00AB78DE | CloseHandle(00000048) returns: 00000001
Themida.exe  | 00AB78E8 | CloseHandle(00000044) returns: 00000001
动作太过明显,申请的位置可以改的,所以......
2006-4-7 15:55
0
雪    币: 159
活跃值: (339)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
19
请问一下...q3兄用的是什么工具得到上面的数据?

感觉这样GetFileSize不是很保险...访问数据段,重定位等等都存在问题吧!
2006-4-7 16:56
0
雪    币: 218
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
不懂
2006-4-7 20:03
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
最初由 Lenus 发布
请问一下...q3兄用的是什么工具得到上面的数据?

感觉这样GetFileSize不是很保险...访问数据段,重定位等等都存在问题吧!

http://wasm.ru/baixado.php?mode=tool&id=313
2006-4-7 20:16
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
想下载一下看看是什么东西
2006-4-7 22:14
0
雪    币: 250
活跃值: (103)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
23
楼主费心了!支持!
2006-4-7 22:48
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
下来看看先~~~顶个!
2006-4-7 23:27
0
雪    币: 226
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
myd
25
是汇编写的吗?
2006-4-8 12:26
0
游客
登录 | 注册 方可回帖
返回
//