能力值:
( LV2,RANK:10 )
|
-
-
2 楼
delphi的吧
|
能力值:
(RANK:10 )
|
-
-
3 楼
最初由 鸡蛋壳 发布 delphi的吧 老大 什么意识 不知所云?
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
他可能想问这个是不是病毒
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
见过某一下载器,病毒,用这种方法自己删除自己。呵呵
|
能力值:
( LV6,RANK:90 )
|
-
-
6 楼
00604BDC E8 8B01E0FF call dumped_.00404D6C
00604BE1 74 05 je short dumped_.00604BE8 //je改成jmp解除效验
|
能力值:
(RANK:10 )
|
-
-
7 楼
最初由 windz 发布
00604BDC E8 8B01E0FF call dumped_.00404D6C 00604BE1 74 05 je short dumped_.00604BE8 //je改成jmp解除效验
请问是如何找到的 下的什么断点?
|
能力值:
(RANK:10 )
|
-
-
8 楼
是我OD版本问题 没隐藏好?被检测到了?
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
我用的是OllyICX版本
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
作者忘记把这个P处理给删除了
|
能力值:
( LV9,RANK:970 )
|
-
-
11 楼
呵呵 QQ霸王花
这东西的作者还在我的QQ里呢
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
应该还是个 文件大小比较!
00404D6C /$ 53 PUSH EBX
00404D6D |. 56 PUSH ESI
00404D6E |. 57 PUSH EDI
00404D6F |. 89C6 MOV ESI,EAX
00404D71 |. 89D7 MOV EDI,EDX
00404D73 |. 39D0 CMP EAX,EDX
00404D75 0F84 8F000000 JE 脱壳后.00404E0A
00404D7B |. 85F6 TEST ESI,ESI
00404D7D |. 74 68 JE SHORT 脱壳后.00404DE7
00404D7F |. 85FF TEST EDI,EDI
00404D81 |. 74 6B JE SHORT 脱壳后.00404DEE
00404D83 |. 8B46 FC MOV EAX,DWORD PTR DS:[ESI-4]
00404D86 |. 8B57 FC MOV EDX,DWORD PTR DS:[EDI-4]
00404D89 |. 29D0 SUB EAX,EDX
00404D8B 77 02 JA SHORT 脱壳后.00404D8F
00404D8D |. 01C2 ADD EDX,EAX
00404D8F |> 52 PUSH EDX
00404D90 |. C1EA 02 SHR EDX,2
00404D93 |. 74 26 JE SHORT 脱壳后.00404DBB
00404D95 |> 8B0E /MOV ECX,DWORD PTR DS:[ESI]
00404D97 |. 8B1F |MOV EBX,DWORD PTR DS:[EDI]
00404D99 |. 39D9 |CMP ECX,EBX
00404D9B |. 75 58 |JNZ SHORT 脱壳后.00404DF5
00404D9D |. 4A |DEC EDX
00404D9E |. 74 15 |JE SHORT 脱壳后.00404DB5
00404DA0 |. 8B4E 04 |MOV ECX,DWORD PTR DS:[ESI+4]
00404DA3 |. 8B5F 04 |MOV EBX,DWORD PTR DS:[EDI+4]
00404DA6 |. 39D9 |CMP ECX,EBX
00404DA8 |. 75 4B |JNZ SHORT 脱壳后.00404DF5
00404DAA |. 83C6 08 |ADD ESI,8
00404DAD |. 83C7 08 |ADD EDI,8
00404DB0 |. 4A |DEC EDX
00404DB1 |.^ 75 E2 \JNZ SHORT 脱壳后.00404D95
00404DB3 |. EB 06 JMP SHORT 脱壳后.00404DBB
00404DB5 |> 83C6 04 ADD ESI,4
00404DB8 |. 83C7 04 ADD EDI,4
00404DBB |> 5A POP EDX
00404DBC |. 83E2 03 AND EDX,3
00404DBF |. 74 22 JE SHORT 脱壳后.00404DE3
00404DC1 |. 8B0E MOV ECX,DWORD PTR DS:[ESI]
00404DC3 |. 8B1F MOV EBX,DWORD PTR DS:[EDI]
00404DC5 |. 38D9 CMP CL,BL
00404DC7 |. 75 41 JNZ SHORT 脱壳后.00404E0A
00404DC9 |. 4A DEC EDX
00404DCA |. 74 17 JE SHORT 脱壳后.00404DE3
00404DCC |. 38FD CMP CH,BH
00404DCE |. 75 3A JNZ SHORT 脱壳后.00404E0A
00404DD0 |. 4A DEC EDX
00404DD1 |. 74 10 JE SHORT 脱壳后.00404DE3
00404DD3 |. 81E3 0000FF00 AND EBX,0FF0000
00404DD9 |. 81E1 0000FF00 AND ECX,0FF0000
00404DDF |. 39D9 CMP ECX,EBX
00404DE1 |. 75 27 JNZ SHORT 脱壳后.00404E0A
00404DE3 |> 01C0 ADD EAX,EAX
00404DE5 |. EB 23 JMP SHORT 脱壳后.00404E0A
00404DE7 |> 8B57 FC MOV EDX,DWORD PTR DS:[EDI-4]
00404DEA |. 29D0 SUB EAX,EDX
00404DEC |. EB 1C JMP SHORT 脱壳后.00404E0A
00404DEE |> 8B46 FC MOV EAX,DWORD PTR DS:[ESI-4]
00404DF1 |. 29D0 SUB EAX,EDX
00404DF3 |. EB 15 JMP SHORT 脱壳后.00404E0A
00404DF5 |> 5A POP EDX
00404DF6 |. 38D9 CMP CL,BL
00404DF8 |. 75 10 JNZ SHORT 脱壳后.00404E0A
00404DFA |. 38FD CMP CH,BH
00404DFC |. 75 0C JNZ SHORT 脱壳后.00404E0A
00404DFE |. C1E9 10 SHR ECX,10
00404E01 |. C1EB 10 SHR EBX,10
00404E04 |. 38D9 CMP CL,BL
00404E06 |. 75 02 JNZ SHORT 脱壳后.00404E0A
00404E08 |. 38FD CMP CH,BH
00404E0A |> 5F POP EDI
00404E0B |. 5E POP ESI
00404E0C |. 5B POP EBX
00404E0D \. C3 RETN
00404E0E 8BC0 MOV EAX,EAX
|
能力值:
(RANK:10 )
|
-
-
13 楼
最初由 xxdoc 发布 应该还是个 文件大小比较!
00404D6C /$ 53 PUSH EBX 00404D6D |. 56 PUSH ESI ........
我把效验清除了 该JMP了
F9运行还是自动关闭OD?没隐藏好?还是什么问题?
|
能力值:
(RANK:10 )
|
-
-
14 楼
我把自效验清除了
OD跑不起来
一跑还是关我OD
是我OD问题?没隐藏好?谁帮我解答下
|
能力值:
(RANK:10 )
|
-
-
15 楼
最初由 machenglin 发布 BP ExitProcess BP PostQuitMessage
先感谢 machenglin 大侠的指点
我也是下退出效验断点
但是下断后 F9 OD自动关闭
是不是我OD 问题 我主要是问这个 我把效验去掉了 OD载入 F9 还是关我OD```为什么?
|
能力值:
( LV12,RANK:210 )
|
-
-
16 楼
在多下几个段点
TerminateProcess
Process32First
Process32Next
CreateToolhelp32Snapshot
等..
|