PUSH大法发现有退出暗装,这个退出暗装搞不定啊
如题啊。如题啊,Push大法好,
但是好像有退出暗装,而且好像还有OD检测的。。。
https://attach.52pojie.cn/forum/201911/17/145822gxtupdudgc6i71tc.pnghttps://attach.52pojie.cn/forum/201911/17/145832ur1oeey1ylmkok6z.pnghttps://attach.52pojie.cn/forum/201911/17/145902c483df2jjnfhzjlc.png
004135ED|.68 BD2A0152 push 0x52012ABD
https://attach.52pojie.cn/forum/201911/17/145942a0u3c3dcs003txlf.png
改了入口窗口,但是保存后打开会秒退。不知道这个退出暗装怎么搞啊。求帮助。最好给个教程,新手上路。哎。
https://www.lanzouj.com/i7ewq8h 这个是已经被我脱掉壳的。
https://www.lanzouj.com/i7f07wb这个是没脱壳的= =
希望能给我个教程。,这种情况应该如何去处理PUSH其他的窗口成功了,但是得基于主页面的调用才能用。所以必须要进到主页面才行。
希望能教一下我怎么找到这个退出暗桩。感谢!在悬赏区也发帖子了。到时候我会给你设置满意答案! 检测就这俩 很简单
0040137C|. /0F85 0A000000 jnz _UnPacke.0040138C ;检测OD跳过
00401382|. |E8 71330000 call _UnPacke.004046F8
00401387|. |E8 4FBD0000 call _UnPacke.0040D0DB ;这里跑废了
0040138C|> \C745 F0 00000>mov ,0x0
00401393|.6A 00 push 0x0
00401395|.FF75 F0 push
00401398|.E8 17D50000 call _UnPacke.0040E8B4
0040139D|.8945 E8 mov ,eax
004013A0|.837D E8 01 cmp ,0x1
004013A4|.0F85 0A000000 jnz _UnPacke.004013B4
004013AA|.E8 49330000 call _UnPacke.004046F8
004013AF|.E8 27BD0000 call _UnPacke.0040D0DB
004013B4|>E8 99EB0000 call _UnPacke.0040FF52
004013B9|.8945 EC mov ,eax
004013BC|.837D EC 01 cmp ,0x1
004013C0 0F85 0A000000 jnz _UnPacke.004013D0 ;一样
004013C6|.E8 2D330000 call _UnPacke.004046F8
本帖最后由 ghl32116 于 2019-11-24 05:29 编辑
ghl32116 发表于 2019-11-24 03:40
检测就这俩 很简单
0040137C|. /0F85 0A000000 jnz _UnPacke.0040138C ;检测OD跳 ...
call _UnPacke.0040D0DB 这里面第一行给他retn 后面的酒不用管了但是我不知道这个东西进去有啥限制 就是那个10800秒吗?这个 我想 限制不了你这个08年的老主子哦!有类似的发我 我们共同进步 打内存补丁,下退出断点 观察一波 哪位规定的非得叫strongOD? 统统换个名字。 AIctiy 发表于 2019-11-18 14:49
打内存补丁,下退出断点
不会啊= = a86532922 发表于 2019-11-18 19:20
用虫子跟会吧
不会=- ={:1_893:} a86532922 发表于 2019-11-18 19:20
用虫子跟会吧
虫子就是那个哭的哆啦A梦是吗= = 我看到过那个教程。 CrackPlayer 发表于 2019-11-19 20:23
下ExitProcess断点,堆栈回溯回去,找的可以跳过调用CALL的,直接JMP
下了这个断点。没办法断下来。运行调试直接已终止。 CrackPlayer 发表于 2019-11-19 20:23
下ExitProcess断点,堆栈回溯回去,找的可以跳过调用CALL的,直接JMP
尝试了一下。又可以断下来了。但是上面没有JMP跳下去的= =
页:
[1]
2