高手请支招!!!

这个问题有相关经典文献介绍，你应先网上搜索、阅读一下。

感谢你的回复，我正是看了这样的文章，才找LMGR326A.lc_set_attr这个地方，它前面有push 0000002d的提示，可我的daemon里没有这样的提示，请再指教。谢谢

:0040104D 68B0114000         push 004011B0  

:00401052 6A2D                 push 0000002D

:00401054 50                 push eax

* Reference To: LMGR326A.lc_set_attr, Ord:003Dh

|

:00401055 E8C8010000         Call 00401222 <-- Call function
找不到这儿,是在daemon里找还是*.dll里?反正都没有找到!!!

请你有空再回复一下，是在daemon里找还是*.dll里找，谢谢

在daemon里找不到，就在有Flex信息的执行程序或相关*.dll里找，你要有耐心分析才行啊

004011B0就是CHECK_filter的地址！！！！！！！！如果你不懂算法，直接把它置0就可以去掉CHECK_filter了。即在004011B0直接
XOR EAX，EAX
RET
机器码就是33 C0 C3

谢谢各位!!
关键是我没有找到位置,功力不够,需要学习和各位的指点.

请问disth:
.text:67F5AF90 ; Attributes: library function bp-based frame
.text:67F5AF90
.text:67F5AF90 _lc_set_attr    proc near      ; CODE XREF: sub_67F50180+Bp
.text:67F5AF90                                         ; sub_67F501A0+A3p ...
.text:67F5AF90
.text:67F5AF90 var_4           = dword ptr -4
.text:67F5AF90 arg_0           = dword ptr  8
.text:67F5AF90 arg_4           = dword ptr  0Ch
.text:67F5AF90 arg_8           = dword ptr  10h
.text:67F5AF90
.text:67F5AF90                 push    ebp
.text:67F5AF91                 mov     ebp, esp
.text:67F5AF93                 push    ecx
.text:67F5AF94                 mov     eax, [ebp+arg_0]
.text:67F5AF97                 push    eax

把
text:67F5AF90                 push    ebp
.text:67F5AF91                 mov     ebp, esp
.text:67F5AF93                 push    ecx
置0吗?