[求助]怎样去掉这条尾巴!-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]怎样去掉这条尾巴! 0.00雪花

发表于: 2007-5-14 18:13 5638

[旧帖] [求助]怎样去掉这条尾巴! 0.00雪花

kortchen

2007-5-14 18:13

5638

大家好!请问一下怎样去掉尾巴!

偶砍了几次都砍不断

求教一下各位!

OD载入:

0040443E    CC          int3
0040443F    CC          int3
00404440  /$  6A FF       push -1
00404442  |.  68 333F4300 push 00433F33                      ;  SE 处理程序安装
00404447  |.  64:A1 0000000>mov    eax, dword ptr fs:[0]
0040444D  |.  50          push eax
0040444E  |.  64:8925 00000>mov    dword ptr fs:[0], esp
00404455  |.  51          push ecx
00404456  |.  8B4424 14    mov    eax, dword ptr [esp+14]
0040445A  |.  53          push ebx
0040445B  |.  55          push ebp
0040445C  |.  56          push esi
0040445D  |.  57          push edi
0040445E  |.  50          push eax
0040445F  |.  8BF1       mov    esi, ecx
00404461  |.  6A 66       push 66
00404463  |.  897424 18    mov    dword ptr [esp+18], esi
00404467  |.  E8 3C4F0200 call 004293A8
0040446C  |.  33ED       xor    ebp, ebp
0040446E  |.  8D4E 74    lea    ecx, dword ptr [esi+74]
00404471  |.  896C24 1C    mov    dword ptr [esp+1C], ebp
00404475  |.  C706 38704300 mov    dword ptr [esi], 00437038
0040447B  |.  E8 00E5FFFF call 00402980
00404480  |.  C64424 1C 01  mov    byte ptr [esp+1C], 1
00404485  |.  8DBE 9C000000 lea    edi, dword ptr [esi+9C]
0040448B  |.  E8 BE600200 call 0042A54E
00404490  |.  8B10       mov    edx, dword ptr [eax]
00404492  |.  8BC8       mov    ecx, eax
00404494  |.  FF52 0C    call dword ptr [edx+C]
00404497  |.  83C0 10    add    eax, 10
0040449A  |.  8907       mov    dword ptr [edi], eax
0040449C  |.  8D9E A0000000 lea    ebx, dword ptr [esi+A0]
004044A2  |.  8BCB       mov    ecx, ebx
004044A4  |.  C64424 1C 02  mov    byte ptr [esp+1C], 2
004044A9  |.  E8 59240200 call 00426907
004044AE  |.  C703 CC954300 mov    dword ptr [ebx], 004395CC
004044B4  |.  8D9E F0000000 lea    ebx, dword ptr [esi+F0]
004044BA  |.  8BCB       mov    ecx, ebx
004044BC  |.  C64424 1C 03  mov    byte ptr [esp+1C], 3
004044C1  |.  E8 41240200 call 00426907
004044C6  |.  C703 F49B4300 mov    dword ptr [ebx], 00439BF4
004044CC  |.  68 31704300 push 00437031
004044D1  |.  8D8E 40010000 lea    ecx, dword ptr [esi+140]
004044D7  |.  C64424 20 04  mov    byte ptr [esp+20], 4
004044DC  |.  E8 AFFEFFFF call 00404390
004044E1  |.  8D9E 44010000 lea    ebx, dword ptr [esi+144]
004044E7  |.  8BCB       mov    ecx, ebx
004044E9  |.  C64424 1C 05  mov    byte ptr [esp+1C], 5
004044EE  |.  E8 14240200 call 00426907
004044F3  |.  C703 4C994300 mov    dword ptr [ebx], 0043994C
004044F9  |.  8D9E A0010000 lea    ebx, dword ptr [esi+1A0]
004044FF  |.  8BCB       mov    ecx, ebx
00404501  |.  C64424 1C 06  mov    byte ptr [esp+1C], 6
00404506  |.  E8 FC230200 call 00426907
0040450B  |.  C703 4C994300 mov    dword ptr [ebx], 0043994C
00404511  |.  8D9E F4010000 lea    ebx, dword ptr [esi+1F4]
00404517  |.  8BCB       mov    ecx, ebx
00404519  |.  C64424 1C 07  mov    byte ptr [esp+1C], 7
0040451E  |.  C786 F0010000>mov    dword ptr [esi+1F0], 64
00404528  |.  E8 DA230200 call 00426907
0040452D  |.  C703 F49B4300 mov    dword ptr [ebx], 00439BF4
00404533  |.  8D9E 44020000 lea    ebx, dword ptr [esi+244]
00404539  |.  8BCB       mov    ecx, ebx
0040453B  |.  C64424 1C 08  mov    byte ptr [esp+1C], 8
00404540  |.  E8 C2230200 call 00426907
00404545  |.  C703 F49B4300 mov    dword ptr [ebx], 00439BF4
0040454B  |.  8D9E 94020000 lea    ebx, dword ptr [esi+294]
00404551  |.  8BCB       mov    ecx, ebx
00404553  |.  C64424 1C 09  mov    byte ptr [esp+1C], 9
00404558  |.  E8 AA230200 call 00426907
0040455D  |.  C703 F49B4300 mov    dword ptr [ebx], 00439BF4
00404563  |.  8D9E E4020000 lea    ebx, dword ptr [esi+2E4]
00404569  |.  8BCB       mov    ecx, ebx
0040456B  |.  C64424 1C 0A  mov    byte ptr [esp+1C], 0A
00404570  |.  E8 92230200 call 00426907
00404575  |.  C703 949A4300 mov    dword ptr [ebx], 00439A94
0040457B  |.  C64424 1C 0B  mov    byte ptr [esp+1C], 0B
00404580  |.  68 31704300 push 00437031
00404585  |.  8D8E 34030000 lea    ecx, dword ptr [esi+334]
0040458B  |.  E8 00FEFFFF call 00404390
00404590  |.  8D9E 3C030000 lea    ebx, dword ptr [esi+33C]
00404596  |.  8BCB       mov    ecx, ebx
00404598  |.  C64424 1C 0C  mov    byte ptr [esp+1C], 0C
0040459D  |.  89AE 38030000 mov    dword ptr [esi+338], ebp
004045A3  |.  E8 5F230200 call 00426907
004045A8  |.  C703 4C994300 mov    dword ptr [ebx], 0043994C
004045AE  |.  8D9E 8C030000 lea    ebx, dword ptr [esi+38C]
004045B4  |.  8BCB       mov    ecx, ebx
004045B6  |.  C64424 1C 0D  mov    byte ptr [esp+1C], 0D
004045BB  |.  E8 47230200 call 00426907
004045C0  |.  C703 4C994300 mov    dword ptr [ebx], 0043994C
004045C6  |.  8D9E DC030000 lea    ebx, dword ptr [esi+3DC]
004045CC  |.  8BCB       mov    ecx, ebx
004045CE  |.  C64424 1C 0E  mov    byte ptr [esp+1C], 0E
004045D3  |.  E8 2F230200 call 00426907
004045D8  |.  C703 449D4300 mov    dword ptr [ebx], 00439D44
004045DE  |.  8D8E 2C040000 lea    ecx, dword ptr [esi+42C]
004045E4  |.  C64424 1C 0F  mov    byte ptr [esp+1C], 0F
004045E9  |.  E8 622C0000 call 00407250
004045EE  |.  8D9E 2C050000 lea    ebx, dword ptr [esi+52C]
004045F4  |.  8BCB       mov    ecx, ebx
004045F6  |.  C64424 1C 10  mov    byte ptr [esp+1C], 10
004045FB  |.  E8 07230200 call 00426907
00404600    C703 28694300 mov    dword ptr [ebx], 00436928
00404606    6A 40       push 40
00404608    68 F06F4300 push 00436FF0                      ;  \n本信息由**********发布  (尾巴)
0040460D  |.  8BCF       mov    ecx, edi
0040460F  |.  C64424 24 11  mov    byte ptr [esp+24], 11
00404614  |.  89AE 24050000 mov    dword ptr [esi+524], ebp
0040461A  |.  C786 20050000>mov    dword ptr [esi+520], 41D
00404624  |.  E8 F7E5FFFF call 00402C20
00404629  |.  89AE 98000000 mov    dword ptr [esi+98], ebp
0040462F  |.  E8 3CCB0200 call 00431170
00404634  |.  E8 37CB0200 call 00431170
00404639  |.  8B40 0C    mov    eax, dword ptr [eax+C]
0040463C  |.  68 80000000 push 80                            ; /RsrcName = 128.
00404641  |.  50          push eax                            ; |hInst
00404642  |.  FF15 34654300 call dword ptr [<&USER32.LoadIconA>]  ; \LoadIconA
00404648  |.  8B4C24 14    mov    ecx, dword ptr [esp+14]
0040464C  |.  8946 70    mov    dword ptr [esi+70], eax
0040464F  |.  5F          pop    edi
00404650  |.  8BC6       mov    eax, esi
00404652  |.  5E          pop    esi
00404653  |.  5D          pop    ebp
00404654  |.  5B          pop    ebx
00404655  |.  64:890D 00000>mov    dword ptr fs:[0], ecx
0040465C  |.  83C4 10    add    esp, 10
0040465F  \.  C2 0400    retn 4
00404662    CC          int3
00404663    CC          int3

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・0

支持

最新回复 (15)
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 2 楼试试UE32搜索这个字符串，然后都改成空 2007-5-14 18:35 0
kortchen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	kortchen 3 楼 Winter-Night的方法..偶已经尝试过了...改成空之后..尾巴还是存在... 2007-5-14 18:46 0
kortchen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	kortchen 4 楼说到用UE32搜索字符串,vxin大侠的字符串转换工具 v2.5.4蛮好用的.. http://bbs.pediy.com/showthread.php?t=30553 2007-5-14 18:59 0
4st0ne 雪币： 272 活跃值： (2488) 能力值： ( LV10，RANK：170 ) 在线值：发帖 31 回帖 314 粉丝 0 关注私信	4st0ne 4 5 楼搜索push 00436FF0 全部改成push 0 2007-5-14 19:01 0
kortchen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	kortchen 6 楼 00404608 68 F06F4300 push 00436FF0 查找了..就上面这一个地方 push 00436FF0 改 push 0 运行错误~!~!~!~~! 2007-5-14 19:10 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 7 楼程序不大的话就放上来看看好了~ 2007-5-14 19:12 0
kortchen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	kortchen 8 楼谢谢4st0ne大虾,又学到一个方法了...下次遇到尾巴又多一个尝试的方法~!~! 2007-5-14 19:15 0
kortchen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	kortchen 9 楼 2007-5-14 19:31 0
kortchen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	kortchen 10 楼没大虾说说其他方法呀?算了..先放弃~!~!~! 2007-5-15 15:22 0
红警player 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 67 粉丝 0 关注私信	红警player 11 楼 mov byte ptr [esp+24], 11 mov dword ptr [esi+524], ebp mov dword ptr [esi+520], 41D 我不知道这几句是干什么的,要是是载入字符串的,可以改改试试 2007-5-16 00:39 0
chadd 雪币： 277 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 105 粉丝 1 关注私信	chadd 12 楼可以将00436FF0处的内容（即“\n本信息由**********发布”）填充零 2007-5-18 20:28 0
不死神鸟雪币： 19 活跃值： (107) 能力值： ( LV12，RANK：200 ) 在线值：发帖 105 回帖 756 粉丝 1 关注私信	不死神鸟 1 13 楼阿里旺旺群发王,呵呵,我没说错吧 2007-5-22 04:34 0
ywkingstar 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	ywkingstar 14 楼你这个应该是王牌阿里旺旺群发王5.1版的偶研究去掉这个尾巴研究了好几天，不过现在终于搞定了软件未脱壳前有发送数量限制，但不带尾巴，只要一脱壳或修改软件的任一个字符，都会自动带上尾巴，即便是用UE修改尾巴信息也没用这说明软件是有自校验的。去了自校验，就没有尾巴了自校验是MD5 想明白了自效验，其实就很简单了，胶壳后把软件提交验证的MD5改为未脱壳时的MD5 需要在软件空白区域建立一个新的软件提交信息，MD5为软件未改动前的MD5，这样就可以去掉尾巴了，再去掉发送次数限制就OK 2007-5-22 23:30 0
LoveZhuYiF 雪币： 182 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	LoveZhuYiF 15 楼尾巴是服务器验证是不是正版产生的，单单找到字符串去掉没用！ 2007-8-17 16:35 0
不死神鸟雪币： 19 活跃值： (107) 能力值： ( LV12，RANK：200 ) 在线值：发帖 105 回帖 756 粉丝 1 关注私信	不死神鸟 1 16 楼一看就是淘宝群发软件。。。。。。。。。。。。。。。。 2007-8-17 16:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kortchen

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 2 楼试试UE32搜索这个字符串，然后都改成空 2007-5-14 18:35 0
kortchen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	kortchen 3 楼 Winter-Night的方法..偶已经尝试过了...改成空之后..尾巴还是存在... 2007-5-14 18:46 0
kortchen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	kortchen 4 楼说到用UE32搜索字符串,vxin大侠的字符串转换工具 v2.5.4蛮好用的.. http://bbs.pediy.com/showthread.php?t=30553 2007-5-14 18:59 0
4st0ne 雪币： 272 活跃值： (2488) 能力值： ( LV10，RANK：170 ) 在线值：发帖 31 回帖 314 粉丝 0 关注私信	4st0ne 4 5 楼搜索push 00436FF0 全部改成push 0 2007-5-14 19:01 0
kortchen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	kortchen 6 楼 00404608 68 F06F4300 push 00436FF0 查找了..就上面这一个地方 push 00436FF0 改 push 0 运行错误~!~!~!~~! 2007-5-14 19:10 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 7 楼程序不大的话就放上来看看好了~ 2007-5-14 19:12 0
kortchen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	kortchen 8 楼谢谢4st0ne大虾,又学到一个方法了...下次遇到尾巴又多一个尝试的方法~!~! 2007-5-14 19:15 0
kortchen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	kortchen 9 楼 2007-5-14 19:31 0
kortchen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	kortchen 10 楼没大虾说说其他方法呀?算了..先放弃~!~!~! 2007-5-15 15:22 0
红警player 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 67 粉丝 0 关注私信	红警player 11 楼 mov byte ptr [esp+24], 11 mov dword ptr [esi+524], ebp mov dword ptr [esi+520], 41D 我不知道这几句是干什么的,要是是载入字符串的,可以改改试试 2007-5-16 00:39 0
chadd 雪币： 277 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 105 粉丝 1 关注私信	chadd 12 楼可以将00436FF0处的内容（即“\n本信息由**********发布”）填充零 2007-5-18 20:28 0
不死神鸟雪币： 19 活跃值： (107) 能力值： ( LV12，RANK：200 ) 在线值：发帖 105 回帖 756 粉丝 1 关注私信	不死神鸟 1 13 楼阿里旺旺群发王,呵呵,我没说错吧 2007-5-22 04:34 0
ywkingstar 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	ywkingstar 14 楼你这个应该是王牌阿里旺旺群发王5.1版的偶研究去掉这个尾巴研究了好几天，不过现在终于搞定了软件未脱壳前有发送数量限制，但不带尾巴，只要一脱壳或修改软件的任一个字符，都会自动带上尾巴，即便是用UE修改尾巴信息也没用这说明软件是有自校验的。去了自校验，就没有尾巴了自校验是MD5 想明白了自效验，其实就很简单了，胶壳后把软件提交验证的MD5改为未脱壳时的MD5 需要在软件空白区域建立一个新的软件提交信息，MD5为软件未改动前的MD5，这样就可以去掉尾巴了，再去掉发送次数限制就OK 2007-5-22 23:30 0
LoveZhuYiF 雪币： 182 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	LoveZhuYiF 15 楼尾巴是服务器验证是不是正版产生的，单单找到字符串去掉没用！ 2007-8-17 16:35 0
不死神鸟雪币： 19 活跃值： (107) 能力值： ( LV12，RANK：200 ) 在线值：发帖 105 回帖 756 粉丝 1 关注私信	不死神鸟 1 16 楼一看就是淘宝群发软件。。。。。。。。。。。。。。。。 2007-8-17 16:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复