NAG的去除
本帖最后由 六人行 于 2009-4-25 08:30 编辑这个去掉NAG的小例子做了很久也没有解决
F12暂停法和bprtcMsgBox都试过了,返回不到程序的领空,问题解决不了
对这两种方法可能还是不太了解。
希望高手给分析下,给个去除过程
谢谢了
答案见下
感谢Register和wellen的帮助。
希望大家讨论下多出些方法…… のVb程序……好一个郁闷 のVb程序……好一个郁闷
mycsy 发表于 2009-4-24 21:42 http://www.52pojie.cn/images/common/back.gif
什么意思?VB的难对付?麻烦给分析下:'( 本帖最后由 Register 于 2009-4-24 22:35 编辑
蛮简单的..........
我是用最土的方法,一步一步来,希望大哥们别见笑
733936F5 E8 9B010000 CALL MSVBVM60.73393895
7339397C E8 0E410000 CALL MSVBVM60.73397A8F
73397B21 E8 8A240000 CALL MSVBVM60.73399FB0
733AE69E E8 48160500 CALL MSVBVM60.733FFCEB
733FFD9E FF50 1C CALL DWORD PTR DS:
733F84C0 E8 0DC2FFFF CALL MSVBVM60.733F46D2
733F474C E8 E5D6FCFF CALL MSVBVM60.733C1E36
733C1E48 E8 29000000 CALL MSVBVM60.733C1E76
733C2152 E8 A5040200 CALL MSVBVM60.733E25FC
733E2612 E8 E2FBFFFF CALL MSVBVM60.733E21F9
733E2446 E8 9BFBFFFF CALL MSVBVM60.733E1FE6
733E20C5 E8 E5FEFFFF CALL MSVBVM60.733E1FAF
733E1FDF E8 E1FCFFFF CALL MSVBVM60.733E1CC5
733E1CE1 FFD0 CALL EAX ; CrackmeN.0040CE10 进入0040CE10,在开头处"retn"
7348D308 FFD0 CALL EAX ; <JMP.&MSVBVM60.#595> 上面的大侠麻烦给讲讲这怎么弄的啊:( 本帖最后由 wellen 于 2009-4-27 21:53 编辑
很简单 rtcMsgBox 断下后 注意看0013FB14 去堆栈0013FB14附近 一般都能找到 0040CE10处retn即可 不过不是全部的都可以
原来是 BP MethCallEngine后看下堆栈..学习了. 本帖最后由 六人行 于 2009-4-25 08:57 编辑
0040CE10 B8 38000000 mov eax,38
0040CE15 66:3D 33C0 cmp ax,0C033
0040CE19 BA 30CF4000 mov edx,CrackmeN.0040CF30
0040CE1E 68 3E104000 push <jmp.&MSVBVM60.MethCallEngine>
0040CE23 C3 retn0040CE1E 68 3E104000 push <jmp.&MSVBVM60.MethCallEngine>把这个nop掉就成功了,多谢……
改为0040CE1E 90 nop
0040CE1F 90 nop
0040CE20 90 nop
0040CE21 90 nop
0040CE22 90 nop进入0040CE10,在开头处"retn"
不知道是不是改成这样0040CE10 C3 retn
都可以去掉NAG。
页:
[1]