-
-
看外挂破解文章之疑惑
-
发表于:
2004-9-10 14:28
5430
-
看了一篇外挂破解文章,有些疑惑,一时找不到答案,所以想请教大家,原文如下。
用OD载入 外挂.exe,用插件隐藏调试标志,在调试设置中忽略全部异常,载入后会听在以下代码处:(代码长,省略),直接按F9,让程序运行起来,运行过程中有两次警告,都不用理它,可以看到我们还在外挂这个模块中,这对我们来说是个好事,试了试常规断点,
bpx GetDlgItemText
bpx xxxxxxxxxxxxxxx
bpx xxxxxxxxxxxxxxx
bpx xxxxxxxxxxxxxxx
bpx xxxxxxxxxxxxxxx
郁闷,没一个能断下来,试试OD万能断点吧,"bpx *",现在要取消一些段点了,运行一次按一次F2,取消一些程序加载时的断点,知道我们能随便移动外挂窗口而不被OD断下来位置,现在我们在外挂的密码框中随便输入几个字符,比如74747474,然后点登陆,程序又被断下来,然后过程很烦,一个CALL断一次,我就的判断一次这个CALL是否对破解有用,更的头都大了,过程在次省略,直接到后面结尾,用keymake制作内存补丁,
地址 Hex转存 反汇编
0041972A 75 29 jnz short xy.00419755
修改地址就是0041972A这个跳转,由75 29可以知道数据长度为2,原始指令就是75 29,修改为74 29生成补丁就OK了。
我的问题:
1:请问是不是只要正确设置插件工作目录,并且目录里包含了OD的隐藏插件,那么打开OD会就自动隐藏调试标志?
2:文章在一开始运行程序后就设断点,在哪设断呢,是载入暂停后下面第一个CALL吗?
3:文章作者找到该外挂的验证密码的字符串后,说新版外挂出来后直接载入后F9运行,搜索字符参考,为什么我也载入F9运行,按Ctrl+B进行搜索字符参考没有搜索到呢?难道是我长的太帅老天嫉妒吗?5555555555!
4:我破另外一个外挂,找到一个可能是关键跳转的地方后,可是有点蒙,分不清原始指令代码了!
地址 Hex转存 反汇编
7FFE031D 0F84 0D000000 JE 7FFE0330
破解外挂文中je指令的16进制代码好象不是0F84,请问是怎么回事?和大小写有关吗?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
