[求助][求助][求助]程序互斥,跟了很久没办法,帮忙看看...-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
einsteinzl 雪币： 439 活跃值： (599) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 50 粉丝 0 关注私信	einsteinzl 2 楼这个外挂叫破天123(不懂..)www.tiswg.com有下 2007-10-21 21:48 0
einsteinzl 雪币： 439 活跃值： (599) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 50 粉丝 0 关注私信	einsteinzl 3 楼终于有了一点进展 0046BE7B /$ FF7424 08 push dword ptr [esp+8] ; /AddrLen 0046BE7F \|. FF7424 08 push dword ptr [esp+8] ; \|pSockAddr 0046BE83 \|. FF71 04 push dword ptr [ecx+4] ; \|Socket 0046BE86 \|. FF15 78664A00 call dword ptr [4A6678] ; \bind 0046BE8C \|. 33C9 xor ecx, ecx ; 就是这里了,bind 0046BE8E 83F8 FF cmp eax, -1 0046BE91 >\|. 0F95C1 setne cl ; HERE 0046BE94 \|. 8BC1 mov eax, ecx 0046BE96 \. C2 0800 retn 8 这里bind后再开一个就不行了,就是这里了,不是MUTEX或EVENT或FILE MAPPING 这里有点怪 0013EFD4 00000244 \|Socket = 244 0013EFD8 0013EFFC \|pSockAddr = 0013EFFC 0013EFDC 00000010 \AddrLen = 10 (16.) 0013EFFC 02 00 27 F9 00 00 00 00 00 00 00 00 00 00 00 00 MSDN里 sin_family Address family (must be AF_INET). 而这里确是9f270002???为什么要这样? 于是我把这里改为02,程序正常,但再开第二个还是不行,这时已不是互斥而功能限制了,而是MessageBox说什么什么没关要你重启. bp MessageBoxA 跟过去,是一大堆没有解密的代码... 01FB0000 /EB 01 jmp short 01FB0003 01FB0002 \|0F569CBE E65741>orps xmm3, dqword ptr [esi+edi*4+4157> 01FB000A EB 01 jmp short 01FB000D 01FB000C F0:C1CE D5 lock ror esi, 0D5 ; 不允许锁定前缀 01FB0010 83EC 20 sub esp, 20 01FB0013 64:EB 02 jmp short 01FB0018 01FB0016 CD20 33F5F2EB vxdjump EBF2F533 01FB001C 01F2 add edx, esi 01FB001E 8BF4 mov esi, esp 01FB0020 895E 0C mov dword ptr [esi+C], ebx 01FB0023 C1CB 81 ror ebx, 81 01FB0026 335C24 28 xor ebx, dword ptr [esp+28] 01FB002A EB 02 jmp short 01FB002E 01FB002C CD20 894E04EB vxdcall EB044E89 01FB0032 010F add dword ptr [edi], ecx 01FB0034 B9 96B14500 mov ecx, 45B196 01FB0039 B9 4EC54A00 mov ecx, 4AC54E 01FB003E EB 02 jmp short 01FB0042 于是我又郁闷了... 2007-10-22 01:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
einsteinzl 雪币： 439 活跃值： (599) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 50 粉丝 0 关注私信	einsteinzl 2 楼这个外挂叫破天123(不懂..)www.tiswg.com有下 2007-10-21 21:48 0
einsteinzl 雪币： 439 活跃值： (599) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 50 粉丝 0 关注私信	einsteinzl 3 楼终于有了一点进展 0046BE7B /$ FF7424 08 push dword ptr [esp+8] ; /AddrLen 0046BE7F \|. FF7424 08 push dword ptr [esp+8] ; \|pSockAddr 0046BE83 \|. FF71 04 push dword ptr [ecx+4] ; \|Socket 0046BE86 \|. FF15 78664A00 call dword ptr [4A6678] ; \bind 0046BE8C \|. 33C9 xor ecx, ecx ; 就是这里了,bind 0046BE8E 83F8 FF cmp eax, -1 0046BE91 >\|. 0F95C1 setne cl ; HERE 0046BE94 \|. 8BC1 mov eax, ecx 0046BE96 \. C2 0800 retn 8 这里bind后再开一个就不行了,就是这里了,不是MUTEX或EVENT或FILE MAPPING 这里有点怪 0013EFD4 00000244 \|Socket = 244 0013EFD8 0013EFFC \|pSockAddr = 0013EFFC 0013EFDC 00000010 \AddrLen = 10 (16.) 0013EFFC 02 00 27 F9 00 00 00 00 00 00 00 00 00 00 00 00 MSDN里 sin_family Address family (must be AF_INET). 而这里确是9f270002???为什么要这样? 于是我把这里改为02,程序正常,但再开第二个还是不行,这时已不是互斥而功能限制了,而是MessageBox说什么什么没关要你重启. bp MessageBoxA 跟过去,是一大堆没有解密的代码... 01FB0000 /EB 01 jmp short 01FB0003 01FB0002 \|0F569CBE E65741>orps xmm3, dqword ptr [esi+edi*4+4157> 01FB000A EB 01 jmp short 01FB000D 01FB000C F0:C1CE D5 lock ror esi, 0D5 ; 不允许锁定前缀 01FB0010 83EC 20 sub esp, 20 01FB0013 64:EB 02 jmp short 01FB0018 01FB0016 CD20 33F5F2EB vxdjump EBF2F533 01FB001C 01F2 add edx, esi 01FB001E 8BF4 mov esi, esp 01FB0020 895E 0C mov dword ptr [esi+C], ebx 01FB0023 C1CB 81 ror ebx, 81 01FB0026 335C24 28 xor ebx, dword ptr [esp+28] 01FB002A EB 02 jmp short 01FB002E 01FB002C CD20 894E04EB vxdcall EB044E89 01FB0032 010F add dword ptr [edi], ecx 01FB0034 B9 96B14500 mov ecx, 45B196 01FB0039 B9 4EC54A00 mov ecx, 4AC54E 01FB003E EB 02 jmp short 01FB0042 于是我又郁闷了... 2007-10-22 01:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复