免认证学习与实战的差异

mayamian

首先例行检查，发现无壳。

检查

然后od附加
搜索错误的提示

发现搜索不到



然后尝试push大法

显示条件未找到（摁键有冲突，太快了手点没截到图）
FF 25可以搜到


然后从网上找各种乱七八糟的视频跟踪到了一个好像对的地方

发现nop填充软件会终止



然后继续刷教程发现messageboxA
跟踪到如图

暂停一步一步走nop   retn和返回的jmp
第一次发现int导致程序终止一同nop
第二次发现rep movs导致程序终止一起nop
然后一直往下走发现程序还是会终止


希望大佬可以给个思路

Vvvvvoid

最后一张图那 函数头下断点,
断下来之后 看堆栈, 往上找 CALL 调用,
找到程序领空的 CALL 就好办多了

Hmily

你那个什么“打法”应该只能用到易语言那，你得确定你这个是不是易语言，然后图里跟踪的位置应该是系统api调用的地方，不是程序的代码了，你得返回到程序调用的地方看。

mayamian

Vvvvvoid 发表于 2021-9-7 17:54
最后一张图那 函数头下断点,
断下来之后 看堆栈, 往上找 CALL 调用,
找到程序领空的 CALL 就好办多了

谢谢大佬

mayamian

Hmily 发表于 2021-9-7 17:44
你那个什么“打法”应该只能用到易语言那，你得确定你这个是不是易语言，然后图里跟踪的位置应该是系统api ...

谢谢大佬

mayamian

Vvvvvoid 发表于 2021-9-7 17:54
最后一张图那 函数头下断点,
断下来之后 看堆栈, 往上找 CALL 调用,
找到程序领空的 CALL 就好办多了

大佬我找到之后都看了一遍（0基础大致知道简单流程以及常用指令含义如：cmp jmp等）


我看他所有文字提示都调用同一个窗口往上理的思路是什么样的呢，是否会根据不同文字返回上层遇到不同校验呢

堆栈是优先从上往下看还是从下往上，其中关键call有什么特征，或者说周围有什么特征呢

找到上一层什么特征的call jmp retn需要跟进什么样的需要nop呢

（在网上找到的无壳教程都是偏基础的，所以有一些的地方不是很懂）




实在不好意思一直叨扰，前天才开始学习，网站下载的教程没法后退，别的地方各种乱七八糟的都是针对游戏的，所以我偏向于实战中学习

下附文件（文件仅用于学习研究）
链接：https://pan.baidu.com/s/1H0KHqhlDyOGsD1lWXi0kUg
提取码：3456