[求助]大家看看这个怎么脱壳？-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼无壳 Microsoft Visual C++ 6.0 2007-3-29 21:21 0
wzqoo 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 40 粉丝 0 关注私信	wzqoo 3 楼将c盘根目录中的WINS.SYS,MS_DOS.SYS,WINDOW.SYS三个文件删除后即可使用.这三个文件是隐藏的. 2007-3-29 23:07 0
不死神鸟雪币： 9 活跃值： (142) 能力值： ( LV12，RANK：200 ) 在线值：发帖 105 回帖 757 粉丝 1 关注私信	不死神鸟 1 4 楼估计删除之后系统也启动不了了，你这是害人家呢还是在帮人家呢？ 2007-3-30 00:16 0
wlbcq 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	wlbcq 5 楼 QQ:278636801 我发不上来 2007-3-30 12:30 0
wzqoo 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 40 粉丝 0 关注私信	wzqoo 6 楼请看清楚再发表意见,我已经删除若干次了,也没见系统崩溃啊 2007-4-2 21:46 0
浩良雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	浩良 7 楼 00403CA4 /EB 36 JMP SHORT 道路中边.00403CDC 00403E99 /EB 19 JMP SHORT 道路中边.00403EB4 2007-4-3 17:11 0
hackerzhou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	hackerzhou 8 楼哇`太好了 ``找了好久了``谢谢``` 2007-4-3 18:15 0
pengym 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	pengym 9 楼老兄，能发我邮箱吗？ pengyingmian@163.com 谢谢老兄。 2007-4-4 10:22 0
马大哈雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	马大哈 10 楼请高手给个指路明灯刚学破解决，想饶过一个程序更新检测试，原来系统更新后如果发现修改了程序就会提示“您的文件有问题，请重新登陆”自动退出高手指点说可以把原来这个错误的跳转换成正常启动的跳转，就是大家说的强破，可是偶刚学，没有搞明白，高手指点下。偶现在通过几天的学习，觉得改程序就是W32Dasm查代码，找出基址进行修改后然后进uedit32c进行修改。不知道大方向对不对，请高手指点下。另外能否直接在OLLYDBG里面直接改啊，我研究半天没有搞明白，论坛上一个学习书下不完整。请高手指点吧，具体怎么改。通过W32Dasm，正常启动位置基址 00002bce 错误跳转00007c2f 目前的做法是找到错误跳转00007c2f 把74改成90 无效。虽然我很菜但是搞不明白我都1天才吃了1顿饭，高手给指点下吧，或者QQ 38396568 谢谢报错的地方 00408620 \|. 0F85 4B010000 JNZ login.00408771 00408626 \|. 837D F8 00 CMP DWORD PTR SS:[EBP-8],0 0040862A \|. 74 05 JE SHORT login.00408631 0040862C \|. 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8] 0040862F \|. EB 05 JMP SHORT login.00408636 ————需要强破的地方，对不？ 00408631 \|> B8 35E64E00 MOV EAX,login.004EE635 00408636 \|> 50 PUSH EAX ; /FileName 00408637 E8 D2270E00 CALL <JMP.&KERNEL32.DeleteFileA> 0040863C \|. 6A 00 PUSH 0 ; /Style = MB_OK\|MB_APPLMODAL 0040863E \|. 6A 00 PUSH 0 ; \|Title = NULL 00408640 68 79E64E00 PUSH login.004EE679 ; 您的文件有问题\n\n 请重新登陆. 00408645 68 60E64E00 PUSH login.004EE660 ; smart online auto updata 查询正常启动文件 00403584 . 68 6ECA4E00 PUSH login.004ECA6E ; /~~~##.swp 00403589 . E8 80780E00 CALL <JMP.&KERNEL32.DeleteFileA> ; \DeleteFileA 0040358E > 66:C785 3CFFF>MOV WORD PTR SS:[EBP-C4],170 00403597 . BA 78CA4E00 MOV EDX,login.004ECA78 ; ~~###.swp 0040359C . 8D85 70FFFFFF LEA EAX,DWORD PTR SS:[EBP-90] 004035A2 . E8 51080D00 CALL login.004D3DF8 004035A7 . FF85 48FFFFFF INC DWORD PTR SS:[EBP-B8] 004035AD . 8B00 MOV EAX,DWORD PTR DS:[EAX] 004035AF . E8 747E0B00 CALL login.004BB428 004035B4 . 50 PUSH EAX ; /Arg1 004035B5 . FF8D 48FFFFFF DEC DWORD PTR SS:[EBP-B8] ; \| 004035BB . 8D85 70FFFFFF LEA EAX,DWORD PTR SS:[EBP-90] ; \| 004035C1 . BA 02000000 MOV EDX,2 ; \| 004035C6 . E8 3D0A0D00 CALL login.004D4008 ; \login.004D4008 004035CB . 59 POP ECX 004035CC . 84C9 TEST CL,CL 004035CE . 74 0A JE SHORT login.004035DA 004035D0 . 68 78CA4E00 PUSH login.004ECA78 ; /~~###.swp 004035D5 . E8 34780E00 CALL <JMP.&KERNEL32.DeleteFileA> ; \DeleteFileA 004035DA > 66:C785 3CFFF>MOV WORD PTR SS:[EBP-C4],17C 004035E3 . BA B1CB4E00 MOV EDX,login.004ECBB1 ; 启动游戏 004035E8 . 8D85 6CFFFFFF LEA EAX,DWORD PTR SS:[EBP-94] 004035EE . E8 05080D00 CALL login.004D3DF8 004035F3 . FF85 48FFFFFF INC DWORD PTR SS:[EBP-B8] 请问我怎么改？ 2007-4-4 10:34 0
马大哈雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	马大哈 11 楼发不了新帖子只能在这发了 2007-4-4 10:35 0
pengym 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	pengym 12 楼老兄，能发我邮箱吗？ pengyingmian@163.com 谢谢老兄。 2007-4-5 11:48 0
pengym 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	pengym 13 楼老师能讲解清楚一点吗？我是新手，不好意思。 2007-4-10 12:00 0
pengym 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	pengym 14 楼我是用的gost 系统，找不到楼主说的这几个文件，只有一个MSDOS.SYS文件，没有中间的下划线呀。 2007-6-8 16:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼无壳 Microsoft Visual C++ 6.0 2007-3-29 21:21 0
wzqoo 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 40 粉丝 0 关注私信	wzqoo 3 楼将c盘根目录中的WINS.SYS,MS_DOS.SYS,WINDOW.SYS三个文件删除后即可使用.这三个文件是隐藏的. 2007-3-29 23:07 0
不死神鸟雪币： 9 活跃值： (142) 能力值： ( LV12，RANK：200 ) 在线值：发帖 105 回帖 757 粉丝 1 关注私信	不死神鸟 1 4 楼估计删除之后系统也启动不了了，你这是害人家呢还是在帮人家呢？ 2007-3-30 00:16 0
wlbcq 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	wlbcq 5 楼 QQ:278636801 我发不上来 2007-3-30 12:30 0
wzqoo 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 40 粉丝 0 关注私信	wzqoo 6 楼请看清楚再发表意见,我已经删除若干次了,也没见系统崩溃啊 2007-4-2 21:46 0
浩良雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	浩良 7 楼 00403CA4 /EB 36 JMP SHORT 道路中边.00403CDC 00403E99 /EB 19 JMP SHORT 道路中边.00403EB4 2007-4-3 17:11 0
hackerzhou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	hackerzhou 8 楼哇`太好了 ``找了好久了``谢谢``` 2007-4-3 18:15 0
pengym 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	pengym 9 楼老兄，能发我邮箱吗？ pengyingmian@163.com 谢谢老兄。 2007-4-4 10:22 0
马大哈雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	马大哈 10 楼请高手给个指路明灯刚学破解决，想饶过一个程序更新检测试，原来系统更新后如果发现修改了程序就会提示“您的文件有问题，请重新登陆”自动退出高手指点说可以把原来这个错误的跳转换成正常启动的跳转，就是大家说的强破，可是偶刚学，没有搞明白，高手指点下。偶现在通过几天的学习，觉得改程序就是W32Dasm查代码，找出基址进行修改后然后进uedit32c进行修改。不知道大方向对不对，请高手指点下。另外能否直接在OLLYDBG里面直接改啊，我研究半天没有搞明白，论坛上一个学习书下不完整。请高手指点吧，具体怎么改。通过W32Dasm，正常启动位置基址 00002bce 错误跳转00007c2f 目前的做法是找到错误跳转00007c2f 把74改成90 无效。虽然我很菜但是搞不明白我都1天才吃了1顿饭，高手给指点下吧，或者QQ 38396568 谢谢报错的地方 00408620 \|. 0F85 4B010000 JNZ login.00408771 00408626 \|. 837D F8 00 CMP DWORD PTR SS:[EBP-8],0 0040862A \|. 74 05 JE SHORT login.00408631 0040862C \|. 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8] 0040862F \|. EB 05 JMP SHORT login.00408636 ————需要强破的地方，对不？ 00408631 \|> B8 35E64E00 MOV EAX,login.004EE635 00408636 \|> 50 PUSH EAX ; /FileName 00408637 E8 D2270E00 CALL <JMP.&KERNEL32.DeleteFileA> 0040863C \|. 6A 00 PUSH 0 ; /Style = MB_OK\|MB_APPLMODAL 0040863E \|. 6A 00 PUSH 0 ; \|Title = NULL 00408640 68 79E64E00 PUSH login.004EE679 ; 您的文件有问题\n\n 请重新登陆. 00408645 68 60E64E00 PUSH login.004EE660 ; smart online auto updata 查询正常启动文件 00403584 . 68 6ECA4E00 PUSH login.004ECA6E ; /~~~##.swp 00403589 . E8 80780E00 CALL <JMP.&KERNEL32.DeleteFileA> ; \DeleteFileA 0040358E > 66:C785 3CFFF>MOV WORD PTR SS:[EBP-C4],170 00403597 . BA 78CA4E00 MOV EDX,login.004ECA78 ; ~~###.swp 0040359C . 8D85 70FFFFFF LEA EAX,DWORD PTR SS:[EBP-90] 004035A2 . E8 51080D00 CALL login.004D3DF8 004035A7 . FF85 48FFFFFF INC DWORD PTR SS:[EBP-B8] 004035AD . 8B00 MOV EAX,DWORD PTR DS:[EAX] 004035AF . E8 747E0B00 CALL login.004BB428 004035B4 . 50 PUSH EAX ; /Arg1 004035B5 . FF8D 48FFFFFF DEC DWORD PTR SS:[EBP-B8] ; \| 004035BB . 8D85 70FFFFFF LEA EAX,DWORD PTR SS:[EBP-90] ; \| 004035C1 . BA 02000000 MOV EDX,2 ; \| 004035C6 . E8 3D0A0D00 CALL login.004D4008 ; \login.004D4008 004035CB . 59 POP ECX 004035CC . 84C9 TEST CL,CL 004035CE . 74 0A JE SHORT login.004035DA 004035D0 . 68 78CA4E00 PUSH login.004ECA78 ; /~~###.swp 004035D5 . E8 34780E00 CALL <JMP.&KERNEL32.DeleteFileA> ; \DeleteFileA 004035DA > 66:C785 3CFFF>MOV WORD PTR SS:[EBP-C4],17C 004035E3 . BA B1CB4E00 MOV EDX,login.004ECBB1 ; 启动游戏 004035E8 . 8D85 6CFFFFFF LEA EAX,DWORD PTR SS:[EBP-94] 004035EE . E8 05080D00 CALL login.004D3DF8 004035F3 . FF85 48FFFFFF INC DWORD PTR SS:[EBP-B8] 请问我怎么改？ 2007-4-4 10:34 0
马大哈雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	马大哈 11 楼发不了新帖子只能在这发了 2007-4-4 10:35 0
pengym 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	pengym 12 楼老兄，能发我邮箱吗？ pengyingmian@163.com 谢谢老兄。 2007-4-5 11:48 0
pengym 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	pengym 13 楼老师能讲解清楚一点吗？我是新手，不好意思。 2007-4-10 12:00 0
pengym 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	pengym 14 楼我是用的gost 系统，找不到楼主说的这几个文件，只有一个MSDOS.SYS文件，没有中间的下划线呀。 2007-6-8 16:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]大家看看这个怎么脱壳？ 0.00雪花