[求助][求助]如何修改EXE，以去掉写文件功能-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
我是土匪雪币： 546 活跃值： (1627) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 2 楼找到写文件的关键call，然后直接写一个退出的（ExitProcess）就OK了 2009-2-23 17:58 0
我是土匪雪币： 546 活跃值： (1627) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 3 楼应该下 CreateFileA 这个断点： ==================================== 00407A9F /75 09 jnz short UartAssi.00407AAA ；判断是否存在“filefucker.exe”，如果存在就跳，没有就创建。把这里改为jmp就ok了 00407AA1 \|FF75 B0 push dword ptr ss:[ebp-50] 00407AA4 \|E8 07F8FFFF call UartAssi.004072B0 ；创建“filefucker.exe” 00407AA9 \|59 pop ecx 00407AAA \66:C785 3CFFFFFF D400 mov word ptr ss:[ebp-C4],0D4 ==================================== 呵呵，上传的附件：修改完毕.rar （538.02kb，22次下载） 2009-2-23 18:11 0
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 4 楼 004073C0 E8 155A417C call ExitProcess 找到这个地址直接改成这个样子 2009-2-23 18:14 0
wangxlxk 雪币： 214 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 127 粉丝 0 关注私信	wangxlxk 5 楼 3楼正解我的小站 http://www.iptry.cn 2009-2-23 18:26 0
我是土匪雪币： 546 活跃值： (1627) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 6 楼方法很多，但是最终的结果都是一样的。呵呵，大家多多交流。 2009-2-23 18:57 0
shco 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	shco 7 楼非常感谢各位，非常感谢 2009-2-24 09:21 0
monsterok 雪币： 603 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 14 回帖 360 粉丝 0 关注私信	monsterok 3 8 楼把那里全nop，不可以吗？ 2009-2-24 10:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
我是土匪雪币： 546 活跃值： (1627) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 2 楼找到写文件的关键call，然后直接写一个退出的（ExitProcess）就OK了 2009-2-23 17:58 0
我是土匪雪币： 546 活跃值： (1627) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 3 楼应该下 CreateFileA 这个断点： ==================================== 00407A9F /75 09 jnz short UartAssi.00407AAA ；判断是否存在“filefucker.exe”，如果存在就跳，没有就创建。把这里改为jmp就ok了 00407AA1 \|FF75 B0 push dword ptr ss:[ebp-50] 00407AA4 \|E8 07F8FFFF call UartAssi.004072B0 ；创建“filefucker.exe” 00407AA9 \|59 pop ecx 00407AAA \66:C785 3CFFFFFF D400 mov word ptr ss:[ebp-C4],0D4 ==================================== 呵呵，上传的附件：修改完毕.rar （538.02kb，22次下载） 2009-2-23 18:11 0
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 4 楼 004073C0 E8 155A417C call ExitProcess 找到这个地址直接改成这个样子 2009-2-23 18:14 0
wangxlxk 雪币： 214 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 127 粉丝 0 关注私信	wangxlxk 5 楼 3楼正解我的小站 http://www.iptry.cn 2009-2-23 18:26 0
我是土匪雪币： 546 活跃值： (1627) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 6 楼方法很多，但是最终的结果都是一样的。呵呵，大家多多交流。 2009-2-23 18:57 0
shco 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	shco 7 楼非常感谢各位，非常感谢 2009-2-24 09:21 0
monsterok 雪币： 603 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 14 回帖 360 粉丝 0 关注私信	monsterok 3 8 楼把那里全nop，不可以吗？ 2009-2-24 10:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复