又一款软件过期了,看我是如何降妖捉怪的?
打开软件,用DIE查下壳C++的,来到目录下:睁开法眼,一眼就看到了这{:301_999:}
你大爷,又打算玩修改闪退是吧?
果断修改1字节,果然再运行就闪退。
果断干掉EXE文件
打开x32dbg, Alt+E 搜索一下相关api
还有thread线程相关字眼
下两个断点
字符串搜索
看到一个这,随手F2
显然上级call的返回值尤为重要
005886E0 | 55 | push ebp |
005886E1 | 8BEC | mov ebp,esp |
005886E3 | 6A FF | push FFFFFFFF |
005886E5 | 68 A3FC7B00 | push <sub_7BFCA3> |
005886EA | 64:A1 00000000 | mov eax,dword ptr fs: | 00000000:"T酩"
005886F0 | 50 | push eax |
005886F1 | 81EC 84000000 | sub esp,84 |
005886F7 | A1 08308800 | mov eax,dword ptr ds: |
005886FC | 33C5 | xor eax,ebp |
005886FE | 8945 F0 | mov dword ptr ss:,eax |
00588701 | 53 | push ebx |
00588702 | 56 | push esi |
00588703 | 57 | push edi | edi:L"退>"
00588704 | 50 | push eax |
00588705 | 8D45 F4 | lea eax,dword ptr ss: | :"h酩"
00588708 | 64:A3 00000000 | mov dword ptr fs:,eax | 00000000:"T酩"
0058870E | 8BDA | mov ebx,edx |
00588710 | 8BF9 | mov edi,ecx | edi:L"退>"
00588712 | 897D B4 | mov dword ptr ss:,edi |
00588715 | 8B43 74 | mov eax,dword ptr ds: |
00588718 | 83C0 FE | add eax,FFFFFFFE ========================================> mov eax, 6
0058871B | 897D B8 | mov dword ptr ss:,edi |
0058871E | C745 B0 00000000 | mov dword ptr ss:,0 |
00588725 | 83F8 05 | cmp eax,5====================================> eax与5做比较
果断改之
接下来必然触发闪退,顺路跟踪并一并修改了。
手术完毕,用时5分钟结束战斗。 大侠能否出个像这种修改闪退的教程小白易懂的 一共有四个窗口,第二窗口出现时再附加程序进od(因为直接用od跑的很吃力),附加之后会自动断下来,F9运行,然后Ctrl G,00401000,再字符串自能搜索,能找到关键call,问题是这个call在vm区段,打了补丁,会被检测,然后终止程序,搞了半天,没搞出来,保护程序写的太优秀了,麻烦老师帮忙dll公式指标去时间限制,谢谢!
链接: https://pan.baidu.com/s/1bReZQuqgBRACjtW_jDI9PQ 提取码: 65xt
学习了。 虽然我看不懂代码,但觉得好牛逼{:301_971:} 睁大眼睛学习 song122 发表于 2021-12-28 18:30
大侠能否出个像这种修改闪退的教程小白易懂的
@song122
根本就不需要人类出手搞,编个程序就找到修改哪里了。 学习了,大佬厉害了 学到了、大佬厉害 一脸懵的进来,一脸懵的出去 看法王x64用得帅,我用x64差不多就是一堆异常,od就屁异常没有…
感觉x64dbg在异常的处理上就是差od,还是我不会用,法王快支招…{:1_937:}