免认证学习与实战的差异
首先例行检查,发现无壳。然后od附加
搜索错误的提示
发现搜索不到
然后尝试push大法
显示条件未找到(摁键有冲突,太快了手点没截到图)
FF 25可以搜到
然后从网上找各种乱七八糟的视频跟踪到了一个好像对的地方
发现nop填充软件会终止
然后继续刷教程发现messageboxA
跟踪到如图
暂停一步一步走nop retn和返回的jmp
第一次发现int导致程序终止一同nop
第二次发现rep movs导致程序终止一起nop
然后一直往下走发现程序还是会终止
希望大佬可以给个思路{:1_923:}{:1_923:} 最后一张图那 函数头下断点,
断下来之后 看堆栈, 往上找 CALL 调用,
找到程序领空的 CALL 就好办多了 你那个什么“打法”应该只能用到易语言那,你得确定你这个是不是易语言,然后图里跟踪的位置应该是系统api调用的地方,不是程序的代码了,你得返回到程序调用的地方看。 Vvvvvoid 发表于 2021-9-7 17:54
最后一张图那 函数头下断点,
断下来之后 看堆栈, 往上找 CALL 调用,
找到程序领空的 CALL 就好办多了
谢谢大佬 Hmily 发表于 2021-9-7 17:44
你那个什么“打法”应该只能用到易语言那,你得确定你这个是不是易语言,然后图里跟踪的位置应该是系统api ...
谢谢大佬 Vvvvvoid 发表于 2021-9-7 17:54
最后一张图那 函数头下断点,
断下来之后 看堆栈, 往上找 CALL 调用,
找到程序领空的 CALL 就好办多了
大佬我找到之后都看了一遍(0基础大致知道简单流程以及常用指令含义如:cmp jmp等)
我看他所有文字提示都调用同一个窗口往上理的思路是什么样的呢,是否会根据不同文字返回上层遇到不同校验呢
堆栈是优先从上往下看还是从下往上,其中关键call有什么特征,或者说周围有什么特征呢
找到上一层什么特征的call jmp retn需要跟进什么样的需要nop呢
(在网上找到的无壳教程都是偏基础的,所以有一些的地方不是很懂)
实在不好意思一直叨扰,前天才开始学习,网站下载的教程没法后退,别的地方各种乱七八糟的都是针对游戏的,所以我偏向于实战中学习
下附文件(文件仅用于学习研究)
链接:https://pan.baidu.com/s/1H0KHqhlDyOGsD1lWXi0kUg
提取码:3456
页:
[1]