帮兄弟顶上~~~  还是没搞定.只想知道到底怎么回事

那位大牛告诉下吧,程序是免费的,只想知道这样的自效验怎么解决,以后方便解决

看样子还是自己研究吧
这个用E语言写的，好象参考上面的文章没有用

看来我的道行还很浅啊。

文件自校验应该很容易去掉，难点是在随后的反调试上，跟得头晕

强人都头疼,我看我们还是老火我发觉他这个文件有好多处有花指令哦

晕...看来是挺麻烦的~

我用易的花指令清除,天9000多个花指令,真不知道是那软件问题还是这程序真的那么可怕

急等高手援助中,这个实在吃不透

我来"上班"了~~~...我也没搞定~~

高手来援助下啊,这样强的反调式正是练手的好东西啊

难搞的东西，帮顶一下

那位高手来援助下吧,指点路子,也让我们这些新手长进点

  ...越是玩它就越想揭开迷底...越来越想....

我每天花好几个小时在这上面,这个程序真牛!

不会很难啊.
我只花了五分钟不到.

004b50a1  bb58020000          mov       ebx,00000258
004b50a6  e8cc190000          call      004b6a77
004b50ab  83c410              add       esp,10
004b50ae  8945cc              mov       [ebp-34],eax
004b50b1  8b5dd0              mov       ebx,[ebp-30]
004b50b4  85db                test      ebx,ebx
004b50b6  7409                jz        004b50c1
004b50b8  53                  push      ebx
004b50b9  e8b3190000          call      004b6a71
004b50be  83c404              add       esp,04
004b50c1  817dcc301f0800      cmp       dword ptr [ebp-34],00081f30  ;档案大小不可大于 532272
004b50c8  0f8c05000000        jl        004b50d3
004b50ce  e907000000          jmp       004b50da
004b50d3  c745fc01000000      mov       dword ptr [ebp-04],00000001
004b50da  8b45fc              mov       eax,[ebp-04]
004b50dd  83e001              and       eax,01
004b50e0  83f001              xor       eax,01
004b50e3  6802000080          push      80000002 ; STATUS_DATATYPE_MISALIGN
004b50e8  6a00                push      00
004b50ea  50                  push      eax
004b50eb  6801000000          push      00000001
004b50f0  bb64010000          mov       ebx,00000164

忘了讲.
你内附的2个脱掉壳的都可以跑.
你将比对的大小改大一点就好了.

又忘了讲, 刚刚那个 File Size 若改好之后, 你若用 OD 一样会跳掉.
直接执行则不会. 这里也改一下吧. 父亲必需是 Explore 或 Cmd 才行

00480b31  b801000000          mov       eax,00000001
00480b36  85c0                test      eax,eax
00480b38  0f845b000000        jz        00480b99
00480b3e  68e3cb4100          push      0041cbe3      ;EXPLORER
00480b43  ff75f4              push      dword ptr [ebp-0c]
00480b46  e8f57ffeff          call      00468b40
00480b4b  83c408              add       esp,08
00480b4e  83f800              cmp       eax,00
00480b51  0f8420000000        jz        00480b77
00480b57  68eccb4100          push      0041cbec      ;CMD
00480b5c  ff75f4              push      dword ptr [ebp-0c]
00480b5f  e8dc7ffeff          call      00468b40
00480b64  83c408              add       esp,08
00480b67  83f800              cmp       eax,00
00480b6a  0f8407000000        jz        00480b77
00480b70  b801000000          mov       eax,00000001
00480b75  eb02                jmp       00480b79
00480b77  33c0                xor       eax,eax
00480b79  85c0                test      eax,eax
00480b7b  0f8418000000        jz        00480b99

sessiondiy是能过什么断点找到那个地方的呢?  GetFileSize找不到那里~

他用的是 FirstFirstFile 得到的 lpFindFileData.nFileSizeLow

因为他决定用压缩壳, 想说没人脱了之后会再压缩.
所以档案应该小小的. 大于or小于 532272 byte 只是他大概设一下的判断条件

sessiondiy牛，不过应该是FindFirstFile吧。这个外挂得先用HideOD插件忽略反调试，开始没用，遇到一个ZwSetInformationThread就挂。

请问下你是怎么找到那个地方的？
可不可以做个教程让我们学习一下，下次也好自己找下
谢谢！

我忘了. 没什么固定步骤.
可能是我运气好吧.

晕倒
你就是单步跟踪的？
然后就走到那里了？
没有下什么断点之类的吗？

f-.-
好像没有