无壳程序,VC5。
有使用时间限制,过期时消息框提醒。主程序上查提示字符串找不到,估计在DLL里,放弃。
直接下API断点,bp MessageBoxA。
0012FB50
10C258F8 /CALL 到 MessageBoxA
0012FB54 00000000 |hOwner = NULL
0012FB58 01E60048 |Text = "本软件已过期",A1,"?
0012FB5C 01AF0038 |Title = "提示"
0012FB60 00002040 \Style = MB_OK|MB_ICONASTERISK|MB_TASKMODAL
找到这个CALL的位置了。重新加载程序,直接CTRL+G跳转到
10C258F8 。
10C258D5 /75 02 jnz short 10C258D9
10C258D7 |> |33F6 xor esi, esi
10C258D9 |> \8B4C24 18 mov ecx, dword ptr [esp+18]
10C258DD |. 8B41 14 mov eax, dword ptr [ecx+14]
10C258E0 |. 85C0 test eax, eax
10C258E2 75 02 jnz short 10C258E6
10C258E4 33F6 xor esi, esi
10C258E6 8B5424 2C mov edx, dword ptr [esp+2C]
10C258EA |. 8B4424 14 mov eax, dword ptr [esp+14]
10C258EE |. 57 push edi ; /Style
10C258EF |. 52 push edx ; |Title
10C258F0 |. 50 push eax ; |Text
10C258F1 |. 56 push esi ; |hOwner
10C258F2 FF15 EC09DA10 call dword ptr [<&USER32.MessageBoxA>>; USER32.MessageBoxA
10C258F8 85DB test ebx, ebx
应该怎么跳过这个提示框呢?谢谢!
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法