能力值:
(RANK:350 )
|
-
-
2 楼
BP GetModuleHandleA+5
不要直接下到GetModuleHandleA ,否则会被检测到
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
BP GetModuleHandleA+5
下这个断点,结果出错。
提示内存不能为read..
我看那篇文章里下BP GetModuleHandleA断点可以成功.
我是2000的系统,不会有什么不一样吧?
|
能力值:
(RANK:350 )
|
-
-
4 楼
Ctrl+G
输入GetModuleHandleA
在GetModuleHandleA函数尾部下断。
或用硬件断点也行
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
还是跟文章里的不一样。
我再试一试吧
谢谢了。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
http://bbs.pediy.com/showthread.php?threadid=16342
我是参考的这篇文章,但第2步总跟他不一样。
|
能力值:
(RANK:350 )
|
-
-
7 楼
最初由 淡淡的冰 发布 还是跟文章里的不一样。
我再试一试吧
谢谢了。
不同操作系统中GetModuleHandleA函数汇编代码当然不一样,只要你中断在GetModuleHandleA就行了。
不要死按教学来,变通一些。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
明白了,谢谢指导
|
能力值:
( LV9,RANK:3410 )
|
-
-
9 楼
标准壳的话可以试试脚本
Armadillo V4.0-V4.44.Standard.Protection.oSc
|
能力值:
( LV9,RANK:1140 )
|
-
-
10 楼
最初由 淡淡的冰 发布 http://bbs.pediy.com/showthread.php?threadid=16342 我是参考的这篇文章,但第2步总跟他不一样。
http://bbs.pediy.com/showthread.php?threadid=16342
按照这篇文章,完全可以脱掉
完全照抄都能达到目的!
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
我试脱了下,,脱后运行出现这个窗口,,不知道什么意思,,谁能解释下
|
能力值:
( LV9,RANK:1250 )
|
-
-
12 楼
最初由 kmjyq 发布 我试脱了下,,脱后运行出现这个窗口,,不知道什么意思,,谁能解释下
这个应该是自校验吧。
看堆栈,跟随后,修改了跳转就ok了。
|
能力值:
( LV12,RANK:2670 )
|
-
-
13 楼
最初由 冷血书生 发布 http://bbs.pediy.com/showthread.php?threadid=16342
按照这篇文章,完全可以脱掉
完全照抄都能达到目的!
|
能力值:
( LV12,RANK:2670 )
|
-
-
14 楼
最初由 fly 发布 标准壳的话可以试试脚本
该系列软件程序都使用了ARM的注册系统,所以使用脚本对这个是无用的
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
最初由 冷血书生 发布 http://bbs.pediy.com/showthread.php?threadid=16342
按照这篇文章,完全可以脱掉
完全照抄都能达到目的!
下断:BP GetModuleHandleA 然后F9运行:
77E5AD86 > 837C24 04 00 cmp dword ptr ss:[esp+4],0 // 断在这,注意看堆栈
而我下断后运行却断在
77E80B1A > 55 PUSH EBP
这里。
不知道为什么.
|
能力值:
( LV9,RANK:1250 )
|
-
-
16 楼
最初由 淡淡的冰 发布 下断:BP GetModuleHandleA 然后F9运行:
77E5AD86 > 837C24 04 00 cmp dword ptr ss:[esp+4],0 // 断在这,注意看堆栈
........
上面这个不可能是GetModuleHandleA,应该是BP GetModuleHandleA+n。
再说,不管+n,只要没检查BP GetModuleHandleA处的断点,效果一样的。
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
最初由 cyto 发布 这个应该是自校验吧。 看堆栈,跟随后,修改了跳转就ok了。
OD载入脱壳后文件堆积来到这
7C816D42 6A 09 PUSH 9
7C816D44 6A FE PUSH -2
7C816D46 FF15 A013807C CALL DWORD PTR DS:[<&ntdll.NtSetInformat>; ntdll.ZwSetInformationThread
7C816D4C FF55 08 CALL DWORD PTR SS:[EBP+8]
7C816D4F 50 PUSH EAX
7C816D50 E8 545FFFFF CALL kernel32.ExitThread
7C816D55 90 NOP
这方面知识还不够,无法下手改,介绍几编相关知识学习下。。谢谢了
|
能力值:
(RANK:10 )
|
-
-
18 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
自己又研究了下,OD载入。超级字串参考+
超级字串参考+ , 条目 470
地址=0043B304
反汇编=PUSH dumped_.004AF048
文本字串=system fault, the application will be shut down immediately!
system fault, the application will be shut down immediately!这个是我电脑上弹出的出错内容,
双击来到下面
0043B2E9 8D7C24 0C LEA EDI,DWORD PTR SS:[ESP+C]
0043B2ED 68 88F04A00 PUSH dumped_.004AF088 ; _ds_protected_
0043B2F2 8BCE MOV ECX,ESI
0043B2F4 E8 27FCFFFF CALL dumped_.0043AF20
0043B2F9 85C0 TEST EAX,EAX
0043B2FB 75 21 JNZ SHORT dumped_.0043B31E
0043B2FD 51 PUSH ECX
0043B2FE 8BCC MOV ECX,ESP
0043B300 896424 24 MOV DWORD PTR SS:[ESP+24],ESP
0043B304 68 48F04A00 PUSH dumped_.004AF048 ; system fault, the application will be shut down immediately!
0043B309 E8 02AFFCFF CALL dumped_.00406210
0043B30E E8 EDFEFFFF CALL dumped_.0043B200
0043B313 83C4 04 ADD ESP,4
0043B316 6A FF PUSH -1
0043B318 FF15 CCB24A00 CALL DWORD PTR DS:[<&kernel32.ExitProces>; kernel32.ExitProcess
判断0043B2FB /75 21 JNZ SHORT dumped_.0043B31E
修改为jmp SHORT dumped_.0043B31E
另存。。运行,,呵呵,出错窗口没出来了,,运行正常了
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
好好学习 天天向上
|
|
|