新手不知道如何下手去程序nag。求教[求助]-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
WithinWhy┊ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	WithinWhy┊ 2 楼用C32Asm查字符看看 2007-4-27 00:52 0
ttma 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	ttma 3 楼找到该字符串了，下一步怎么做？要下断点吗？ 2007-4-27 12:35 0
ttma 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	ttma 4 楼 ::004020C0:: 8B91 88000000 MOV EDX,[ECX+88] \:BYCALL CallBy:004012F8, ::004020C6:: 8B81 8C000000 MOV EAX,[ECX+8C] ::004020CC:: 3BD0 CMP EDX,EAX ::004020CE:: 7F 0D JG SHORT 004020DD \:JMPDOWN ::004020D0:: 42 INC EDX ::004020D1:: B8 01000000 MOV EAX,1 ::004020D6:: 8991 88000000 MOV [ECX+88],EDX ::004020DC:: C3 RETN ::004020DD:: 83F8 01 CMP EAX,1 \:BYJMP JmpBy:004020CE, ::004020E0:: 7E 0B JLE SHORT 004020ED \:JMPDOWN ::004020E2:: 99 CDQ ::004020E3:: 2BC2 SUB EAX,EDX ::004020E5:: D1F8 SAR EAX,1 ::004020E7:: 8981 8C000000 MOV [ECX+8C],EAX ::004020ED:: 6A 00 PUSH 0 \:BYJMP JmpBy:004020E0, ::004020EF:: 68 40604000 PUSH 406040 \->: 多点控制 ::004020F4:: 68 B8614000 PUSH 4061B8 \->: 本试用版已达到试用限制，请安装正式版本! ::004020F9:: C781 88000000 00000000 MOV DWORD PTR [ECX+88],0 ::00402103:: E8 B20D0000 CALL 00402EBA \:JMPDOWN >>>: MFC42U.DLL:MFC42u:NoName0091 ::00402108:: B8 01000000 MOV EAX,1 ::0040210D:: C3 RETN ::0040210E:: 90 NOP ::0040210F:: 90 NOP ::00402110:: 6A FF PUSH -1 ::00402112:: 68 B8324000 PUSH 4032B8 2007-4-27 12:56 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 5 楼 ::004020ED:: 6A 00 PUSH 0 \:BYJMP JmpBy:004020E0, ::004020EF:: 68 40604000 PUSH 406040 \->: 多点控制 ::004020F4:: 68 B8614000 PUSH 4061B8 \->: 本试用版已达到试用限制，请安装正式版本! ::004020F9:: C781 88000000 00000000 MOV DWORD PTR [ECX+88],0 ::00402103:: E8 B20D0000 CALL 00402EBA 跳过00402103那个call看看 004020ed改jmp 0040210d 具体没试过`我没不清楚``` 你可以试试f8步过那个call是不是会出现那个对话框,是的话跳过他,用nop的话可能会破坏堆栈什么什么的程序就死了~~ 你试试~~ 2007-4-27 14:13 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 6 楼 ::004020C0:: 8B91 88000000 MOV EDX,[ECX+88] \:BYCALL CallBy:004012F8, ::004020C6:: 8B81 8C000000 MOV EAX,[ECX+8C] ::004020CC:: 3BD0 CMP EDX,EAX ::004020CE:: 7F 0D JG SHORT 004020DD \:JMPDOWN --> Nop 2007-4-27 15:23 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 7 楼 [QUOTE=cyclotron;302136]::004020C0:: 8B91 88000000 MOV EDX,[ECX+88] \:BYCALL CallBy:004012F8, ::004020C6:: 8B81 8C000000 MOV E...[/QUOTE] 楼上的得也是``nop掉让直接让程序返回` 2007-4-27 15:32 0
ttma 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	ttma 8 楼有自校验的改了。就不运行了 2007-4-27 17:38 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 9 楼在OD中载入后f9运行,不能运行的话应该会出现异常` 看一下堆栈的提示`记下地址,重新载入后ctrl+g到那条代码,上一句一般是个call,f4运行到那里面再开一个od,运行到相同位置,对比一下有什么不同改之` 2007-4-27 17:53 0
ttma 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	ttma 10 楼在OD中载入后f9运行,出现异常` 提示是异常 000006D9 - 使用shift+f7+f8+f9来忽略程序异常。 CTRL+G 输入记下的地址后。提示指定地址无内存，接下来又怎么做呢？ 2007-4-27 17:59 0
浩良雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	浩良 11 楼贴个地址出来，菜鸟们一起研究. 2007-4-27 18:13 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 12 楼不对` 运行后OD会有异常看堆栈记下堆中最后调用的地址,也就是前面第二个重新载入,Ctrl+g到那个地址上,f4运行到那里的上一句,一般那里是一个call,再打开一个OD,到同样的地方,仔细对比一样``特别是跳转,,不同的就改 2007-4-27 18:22 0
ttma 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	ttma 13 楼开第二个od载入就提示不能同时运行两个程序 2007-4-27 20:47 0
yagamiiori 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	yagamiiori 14 楼下载速度太慢了，有别的地址吗？ 2007-4-28 16:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
WithinWhy┊ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	WithinWhy┊ 2 楼用C32Asm查字符看看 2007-4-27 00:52 0
ttma 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	ttma 3 楼找到该字符串了，下一步怎么做？要下断点吗？ 2007-4-27 12:35 0
ttma 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	ttma 4 楼 ::004020C0:: 8B91 88000000 MOV EDX,[ECX+88] \:BYCALL CallBy:004012F8, ::004020C6:: 8B81 8C000000 MOV EAX,[ECX+8C] ::004020CC:: 3BD0 CMP EDX,EAX ::004020CE:: 7F 0D JG SHORT 004020DD \:JMPDOWN ::004020D0:: 42 INC EDX ::004020D1:: B8 01000000 MOV EAX,1 ::004020D6:: 8991 88000000 MOV [ECX+88],EDX ::004020DC:: C3 RETN ::004020DD:: 83F8 01 CMP EAX,1 \:BYJMP JmpBy:004020CE, ::004020E0:: 7E 0B JLE SHORT 004020ED \:JMPDOWN ::004020E2:: 99 CDQ ::004020E3:: 2BC2 SUB EAX,EDX ::004020E5:: D1F8 SAR EAX,1 ::004020E7:: 8981 8C000000 MOV [ECX+8C],EAX ::004020ED:: 6A 00 PUSH 0 \:BYJMP JmpBy:004020E0, ::004020EF:: 68 40604000 PUSH 406040 \->: 多点控制 ::004020F4:: 68 B8614000 PUSH 4061B8 \->: 本试用版已达到试用限制，请安装正式版本! ::004020F9:: C781 88000000 00000000 MOV DWORD PTR [ECX+88],0 ::00402103:: E8 B20D0000 CALL 00402EBA \:JMPDOWN >>>: MFC42U.DLL:MFC42u:NoName0091 ::00402108:: B8 01000000 MOV EAX,1 ::0040210D:: C3 RETN ::0040210E:: 90 NOP ::0040210F:: 90 NOP ::00402110:: 6A FF PUSH -1 ::00402112:: 68 B8324000 PUSH 4032B8 2007-4-27 12:56 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 5 楼 ::004020ED:: 6A 00 PUSH 0 \:BYJMP JmpBy:004020E0, ::004020EF:: 68 40604000 PUSH 406040 \->: 多点控制 ::004020F4:: 68 B8614000 PUSH 4061B8 \->: 本试用版已达到试用限制，请安装正式版本! ::004020F9:: C781 88000000 00000000 MOV DWORD PTR [ECX+88],0 ::00402103:: E8 B20D0000 CALL 00402EBA 跳过00402103那个call看看 004020ed改jmp 0040210d 具体没试过`我没不清楚``` 你可以试试f8步过那个call是不是会出现那个对话框,是的话跳过他,用nop的话可能会破坏堆栈什么什么的程序就死了~~ 你试试~~ 2007-4-27 14:13 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 6 楼 ::004020C0:: 8B91 88000000 MOV EDX,[ECX+88] \:BYCALL CallBy:004012F8, ::004020C6:: 8B81 8C000000 MOV EAX,[ECX+8C] ::004020CC:: 3BD0 CMP EDX,EAX ::004020CE:: 7F 0D JG SHORT 004020DD \:JMPDOWN --> Nop 2007-4-27 15:23 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 7 楼 [QUOTE=cyclotron;302136]::004020C0:: 8B91 88000000 MOV EDX,[ECX+88] \:BYCALL CallBy:004012F8, ::004020C6:: 8B81 8C000000 MOV E...[/QUOTE] 楼上的得也是``nop掉让直接让程序返回` 2007-4-27 15:32 0
ttma 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	ttma 8 楼有自校验的改了。就不运行了 2007-4-27 17:38 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 9 楼在OD中载入后f9运行,不能运行的话应该会出现异常` 看一下堆栈的提示`记下地址,重新载入后ctrl+g到那条代码,上一句一般是个call,f4运行到那里面再开一个od,运行到相同位置,对比一下有什么不同改之` 2007-4-27 17:53 0
ttma 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	ttma 10 楼在OD中载入后f9运行,出现异常` 提示是异常 000006D9 - 使用shift+f7+f8+f9来忽略程序异常。 CTRL+G 输入记下的地址后。提示指定地址无内存，接下来又怎么做呢？ 2007-4-27 17:59 0
浩良雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	浩良 11 楼贴个地址出来，菜鸟们一起研究. 2007-4-27 18:13 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 12 楼不对` 运行后OD会有异常看堆栈记下堆中最后调用的地址,也就是前面第二个重新载入,Ctrl+g到那个地址上,f4运行到那里的上一句,一般那里是一个call,再打开一个OD,到同样的地方,仔细对比一样``特别是跳转,,不同的就改 2007-4-27 18:22 0
ttma 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	ttma 13 楼开第二个od载入就提示不能同时运行两个程序 2007-4-27 20:47 0
yagamiiori 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	yagamiiori 14 楼下载速度太慢了，有别的地址吗？ 2007-4-28 16:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] 新手不知道如何下手去程序nag。求教[求助] 0.00雪花