PUSH大法发现有退出暗装，这个退出暗装搞不定啊

jkl5322203

如题啊。
如题啊，Push大法好，

但是好像有退出暗装，而且好像还有OD检测的。。。


004135ED  |.  68 BD2A0152   push 0x52012ABD



改了入口窗口，但是保存后打开会秒退。不知道这个退出暗装怎么搞啊。求帮助。最好给个教程，新手上路。哎。

https://www.lanzouj.com/i7ewq8h   这个是已经被我脱掉壳的。

https://www.lanzouj.com/i7f07wb  这个是没脱壳的= =

希望能给我个教程。，这种情况应该如何去处理PUSH其他的窗口成功了，但是得基于主页面的调用才能用。所以必须要进到主页面才行。

希望能教一下我怎么找到这个退出暗桩。感谢！在悬赏区也发帖子了。到时候我会给你设置满意答案！

ghl32116

检测就这俩 很简单
0040137C  |. /0F85 0A000000 jnz _UnPacke.0040138C                    ;  检测OD跳过
00401382  |. |E8 71330000   call _UnPacke.004046F8
00401387  |. |E8 4FBD0000   call _UnPacke.0040D0DB                   ;  这里跑废了
0040138C  |> \C745 F0 00000>mov [local.4],0x0
00401393  |.  6A 00         push 0x0
00401395  |.  FF75 F0       push [local.4]
00401398  |.  E8 17D50000   call _UnPacke.0040E8B4
0040139D  |.  8945 E8       mov [local.6],eax
004013A0  |.  837D E8 01    cmp [local.6],0x1
004013A4  |.  0F85 0A000000 jnz _UnPacke.004013B4
004013AA  |.  E8 49330000   call _UnPacke.004046F8
004013AF  |.  E8 27BD0000   call _UnPacke.0040D0DB
004013B4  |>  E8 99EB0000   call _UnPacke.0040FF52
004013B9  |.  8945 EC       mov [local.5],eax
004013BC  |.  837D EC 01    cmp [local.5],0x1
004013C0      0F85 0A000000 jnz _UnPacke.004013D0                    ;  一样
004013C6  |.  E8 2D330000   call _UnPacke.004046F8

ghl32116

ghl32116 发表于 2019-11-24 03:40
检测就这俩 很简单
0040137C  |. /0F85 0A000000 jnz _UnPacke.0040138C                    ;  检测OD跳 ...

call _UnPacke.0040D0DB 这里面第一行给他retn 后面的酒不用管了  但是我不知道这个东西进去有啥限制 就是那个10800秒吗？这个 我想 限制不了你这个08年的老主子哦！有类似的发我 我们共同进步

AIctiy

打内存补丁，下退出断点

就是他

观察一波

冥界3大法王

哪位规定的非得叫strongOD? 统统换个名字。

jkl5322203

AIctiy 发表于 2019-11-18 14:49
打内存补丁，下退出断点

不会啊= =

jkl5322203

a86532922 发表于 2019-11-18 19:20
用虫子跟会吧

不会=- =

jkl5322203

a86532922 发表于 2019-11-18 19:20
用虫子跟会吧

虫子就是那个哭的哆啦A梦是吗= = 我看到过那个教程。

jkl5322203

CrackPlayer 发表于 2019-11-19 20:23
下ExitProcess断点，堆栈回溯回去，找的可以跳过调用CALL的，直接JMP

下了这个断点。没办法断下来。运行调试直接已终止。

jkl5322203

CrackPlayer 发表于 2019-11-19 20:23
下ExitProcess断点，堆栈回溯回去，找的可以跳过调用CALL的，直接JMP

尝试了一下。又可以断下来了。但是上面没有JMP跳下去的= =