[讨论]一个VC程序的自校验-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 2 楼 00495284 817D F4 F02D0F0>CMP DWORD PTR SS:[EBP-C],0F2DF0 ; 比较是不是971kb 0049528B 0F8E 5C000000 JLE dumped_.004952ED ; 小于等于则正常否则被脱壳了 2008-6-12 23:50 0
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 3 楼 JLE dumped_.004952ED 改成 JMP 就可以了 2008-6-12 23:51 0
BennyBoy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 47 粉丝 0 关注私信	BennyBoy 4 楼怎么跟出来的? ------------------------------------- 是 ExitProcess 吗? 2008-6-13 00:03 0
小菜要飞雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 40 粉丝 0 关注私信	小菜要飞 5 楼 [QUOTE=wqrsksk;466075]00495284 817D F4 F02D0F0>CMP DWORD PTR SS:[EBP-C],0F2DF0 ; 比较是不是971kb 0049528B 0F8E 5C000000 JLE dumped_.004952ED ...[/QUOTE] 这个地方我来过，但是我没看出来是比较971kb的，我把971KB(994,713字节)的994713转换成十六进制是F2D99，所以我到处在找F2D99！请问大侠从哪里能看出来是971kb呢？非常感谢您的指点！ 2008-6-13 05:56 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 6 楼 971.484375kb 这就是作者为什么用jle的原因了其实这个保护很弱的！一般的完全可以做到InlinePatch而不改变文件大小总结：以后碰到这种情况可以改用查找F2D??试试 2008-6-13 07:32 0
小菜要飞雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 40 粉丝 0 关注私信	小菜要飞 7 楼原来如此，多谢指点！ 2008-6-13 09:52 0
chadd 雪币： 277 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 105 粉丝 1 关注私信	chadd 8 楼 jmp 修改字节太多，这样只修改1个字节 0049526E 83C4 10 add esp,10 00495271 8945 F4 mov dword ptr ss:[ebp-C],eax ；改为mov dword ptr ss:[ebp-C],edx 00495274 8B5D F8 mov ebx,dword ptr ss:[ebp-8] 00495277 85DB test ebx,ebx 2008-6-14 18:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 2 楼 00495284 817D F4 F02D0F0>CMP DWORD PTR SS:[EBP-C],0F2DF0 ; 比较是不是971kb 0049528B 0F8E 5C000000 JLE dumped_.004952ED ; 小于等于则正常否则被脱壳了 2008-6-12 23:50 0
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 3 楼 JLE dumped_.004952ED 改成 JMP 就可以了 2008-6-12 23:51 0
BennyBoy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 47 粉丝 0 关注私信	BennyBoy 4 楼怎么跟出来的? ------------------------------------- 是 ExitProcess 吗? 2008-6-13 00:03 0
小菜要飞雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 40 粉丝 0 关注私信	小菜要飞 5 楼 [QUOTE=wqrsksk;466075]00495284 817D F4 F02D0F0>CMP DWORD PTR SS:[EBP-C],0F2DF0 ; 比较是不是971kb 0049528B 0F8E 5C000000 JLE dumped_.004952ED ...[/QUOTE] 这个地方我来过，但是我没看出来是比较971kb的，我把971KB(994,713字节)的994713转换成十六进制是F2D99，所以我到处在找F2D99！请问大侠从哪里能看出来是971kb呢？非常感谢您的指点！ 2008-6-13 05:56 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 6 楼 971.484375kb 这就是作者为什么用jle的原因了其实这个保护很弱的！一般的完全可以做到InlinePatch而不改变文件大小总结：以后碰到这种情况可以改用查找F2D??试试 2008-6-13 07:32 0
小菜要飞雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 40 粉丝 0 关注私信	小菜要飞 7 楼原来如此，多谢指点！ 2008-6-13 09:52 0
chadd 雪币： 277 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 105 粉丝 1 关注私信	chadd 8 楼 jmp 修改字节太多，这样只修改1个字节 0049526E 83C4 10 add esp,10 00495271 8945 F4 mov dword ptr ss:[ebp-C],eax ；改为mov dword ptr ss:[ebp-C],edx 00495274 8B5D F8 mov ebx,dword ptr ss:[ebp-8] 00495277 85DB test ebx,ebx 2008-6-14 18:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [讨论]一个VC程序的自校验 0.00雪花