好友
阅读权限255
听众
最后登录1970-1-1
|
Hmily
发表于 2008-11-24 14:23
From:Hmily/[LCG] {www.52pojie.cn}
ZProtect Demo V1.4.2.0主程序去NAG地址+补丁数据分析:
一:
103B7133 6A 01 push 1
二:
1001A1E2 3D 130CCDEF cmp eax,EFCD0C13
1001A1E7 74 01 je short ZProte_1.1001A1EA
1001A1E9 C3 retn
1001A1EA B8 1F50A986 mov eax,86A9501F
1001A1EF C3 retn
大概说下吧,NAG的关键地址可以先分析被加过壳的程序来得到,校验的代码可以对修改过的代码下内存访问断点分析得到。
一就是NAG的全局标志位改成Push 1就无NAG显示了,二是烟兄相对与以前去NAG泛滥加的一个小小的代码校验,修改代码直接Patch下要对比的数据就可以了过校验了。
补丁可以直接写在启动程序那个EXE里面,因为他就是一个Loader,从Loader载入ZProtect.dll后(0040101D)就可以继续写上自己要Patch的代码了,这样做SMC补丁,还有一种就是用G大叔的LAGLOAD做个DLL的内存补丁,都能达到破解的目的。
去ZP的NAG只是技术的分享和交流,其实作用并不大,大家多支持国产壳,再膜拜下Nooby,VM也可以用手玩..... |
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|