今天研究了一天没有明白,按照视频里的方法忽略了所有异常,然后在.rdata下断,shift+F9运行到
[Asm] 纯文本查看 复制代码 0043383D 8B46 0C mov eax,dword ptr ds:[esi+C] //中断在这里00433840 0BC0 or eax,eax
00433842 0F84 25020000 je NgaMy.00433A6D
00433848 8366 0C 00 and dword ptr ds:[esi+C],0
0043384C 03C2 add eax,edx
0043384E 8BD8 mov ebx,eax
00433850 56 push esi
00433851 57 push edi
然后跟着视频单步到
[Asm] 纯文本查看 复制代码 0043396D 3B85 9CE24100 cmp eax,dword ptr ss:[ebp+41E29C] //处理MessageBoxA
然后把
[Asm] 纯文本查看 复制代码 00433973 74 20 je short NgaMy.00433995 //NOP掉
NOP掉了
跟着又单步到
[Asm] 纯文本查看 复制代码 00433979 3B85 9D014100 cmp eax,dword ptr ss:[ebp+41019D] //处理RegisterHotKey
把下面的
[Asm] 纯文本查看 复制代码 0043397F 74 09 je short NgaMy.0043398A //NOP掉
NOP掉了
然后向下滚到
[Asm] 纯文本查看 复制代码 004339C7 74 57 je short NgaMy.00433A20 //magic跳,改JMP
双击把Je改成了jmp
然后跟着视频切到内存,在在00401000处下了断点,然后shift+F9
视频里中断在
[Asm] 纯文本查看 复制代码 00403D38 68 8C3D4000 push NgaMy.00403D8C //中断在这里
而我中断在
而且切换到内存里,断点还在
在按shift+f9程序就终止了,不按shift+F9接着单步,没几步程序也终止了
| 
发表于 2020-12-23 21:06
|
发表于 2020-12-23 22:12
