能力值:
( LV2,RANK:10 )
|
-
-
2 楼
首先声明我很菜,楼主这样的情况很可能是:
可能1:程序没加壳,程序本身检查到有调试器存在,悄悄启动关机功能的代码
可能2:程序加了壳,“壳”检测到有调试器存在,悄悄启动关机功能的代码(这样的壳很可恶)
对于情况2,对策如下:
推荐使用楼主F8一路运行该软件,每当F8进入一个CALL,请先记录该CALL的调用地址(不要下断点记录,请人工记录),当运行到哪个CALL后就开始关机。重启后用OD重新加载该软件,直接F4定位到该CALL,按F7进入该CALL,仔细查看里面有没关机代码。如果有,那么重新加载该软件,修改跳转指令防止程序进入该CALL,然后对该CALL进行跟踪,看看后面还有没有调用该CALL的地方。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
还是用虚拟机吧,总是关掉多烦,对电脑有损害
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
感谢二位大侠的解答,我用PEid查看了,软件是用Borland Delphi 6.0 - 7.0编写的,没有壳。 这个软件地址从0040100---004D9FFE,如果一个一个CALL的试,感觉可能时间会很长。
qsyqsy 大侠可否将虚拟机详细弄法指点一下呢。
|
能力值:
( LV7,RANK:100 )
|
-
-
5 楼
下个VMware(好象要注册码),运行安装,运行,在虚拟机设置界面选择一种操作系统进行安装(操作系统ISO或光盘均可,对应到虚拟光驱,若是ISO,记得在操作系统安装完成后及时将ISO与虚拟光驱脱勾,否则每次启动虚拟机都要重装OS),登录到虚拟机,然后同你现用的操作系统中的操作。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
LZ,装好虚拟机,在虚拟机中运行该程序。如你所说,该程序没有壳,那么该软件反调试手段应该不太强劲。你可以用OD插件,选择“隐藏OD”(全部打勾),还有其他的反调试插件,全部打上。先不设置断点,F9按下去 ,这样应该能运行了。
最后,我很想问下,你这个软件有注册验证码,是不完整的爆破版?你修改文件内容过吗,修改过的话极有可能是触发了CRC32自校验(这种情况的话,不通过校验就直接关机有点过分)。这2种情况都可能出现LZ这种情况。如果不用调试器,本来就不能正常运行,应该有这2种情况。
方便的话,可以让大家下载该软件看看的。LZ给的信息不清晰。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
怀特大侠能否留下QQ号码,方便联系 我的是25499724 每天晚上在线。感谢你的回答。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
我现在在弄加壳程序,准备先把加壳技术学学,破解、脱壳已经忘了不少。再说我开始搞这个加壳脱壳还不到5个月,相当的菜啊,偷偷说句:以前不是有个《加密与解密》学习群嘛,LZ你可以加入的。QQ群号:2519949。需要你用论坛注册ID验证的。现在应该还可以加吧,不清楚了。
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
2519949 已经变成一个游戏群了,怀特大侠还是告诉我你QQ 把,不方便让大家看到就麻烦加我一下。谢谢了。
|
|
|
