本帖最后由 20120427 于 2015-1-20 17:40 编辑
如何找到暗桩?我发现下断也会出现异常,检测下断,试着找到出现异常的地方
入口下断,数据窗口跟随,下硬件断点,F9运行来到这。。。
在堆栈窗口往下拉,找到.....
发现下断和没下断不同的是寄存器窗口的eax值出现了变化,试着修改eax值....问题已经成功解决了
004E53B8 /E9 E08D0700 jmp 0055E19D 找一段空代码处,加入下面代码
004E53BD |C3 retn
0055E19D B8 413A5DE6 mov eax,0xE65D3A41
0055E1A2 5F pop edi
0055E1A3 5E pop esi
0055E1A4 83C4 64 add esp,0x64
0055E1A7 ^ E9 1172F8FF jmp 004E53BD
004B1BDB 68 A88D5A00 push 005A8DA8 ; %s%d*.key
004B1BE0 50 push eax
004B1BE1 C645 FC 02 mov byte ptr ss:[ebp-0x4],0x2
004B1BE5 FF15 E8F75500 call dword ptr ds:[<&USER32.wsprintfA>] ; user32.wsprintfA /这里F2下断,F9运行 断下后可以看到寄存器窗口ecx值,十六进制到十进制就是key 文件名,可能是机器码,每台电脑上的key文件名都是不一样的
查找二进制字串 0000000000000...... 来到一段空代码处,加入下面的代码
004B1BE0 /E9 A1C50A00 jmp 0055E186
0055E186 B9 42748209 mov ecx,0x9827442
0055E18B 50 push eax
0055E18C C74424 0C 42748>mov dword ptr ss:[esp+0xC],0x9827442
0055E194 C645 FC 02 mov byte ptr ss:[ebp-0x4],0x2
0055E198 ^ E9 483AF5FF jmp 004B1BE5
004B1E7F /74 55 je X004B1ED6 /关键跳 修改为jmp 004B1ED6 试用版变企业注册版
0040B6CA /E9 0F2A1500 jmp 0055E0DE /找到一段空代码处,加入下面代码 (编译程序暗桩导致无法编译,直接退出)
0040B6CF |90 nop
0040B6D0 |90 nop
0040B6D1 |90 nop
0040B758 /E9 FE291500 jmp 0055E15B /找到一段空代码处,加入下面代码 (编译程序暗桩导致无法编译,直接退出)
0040B75D |90 nop
0040B75E |90 nop
0040B75F |90 nop
0055E093 :加入以下
38 38 44 36 39 36 39 31 43 36 30 35 33 39 46 43 44 38 44 33 34 39 46 35 36 39 45 34 37 45 39 4633 36 41 31 44 30 42 37 34 36 46 31 39 37 32 35 39 37 38 36 32 44 43 42 35 45 46 38 41 31 38 38
00 00 00 00 00 00 00 00 00 00 00 8B 04 24 BF 93 E0 55 00 81 FF D3 E0 55 00 74 0E 36 8B 1F 36 89
18 83 C0 04 83 C7 04 EB EA BB 0F 00 00 00 33 C0 68 D8 B6 40 00 C3 00 00 00 00 00 00 00 00 43 31
31 33 42 30 31 41 37 46 33 38 30 35 44 42 30 43 45 45 41 41 30 45 31 44 35 45 41 31 46 43 38 34
44 42 35 34 37 41 34 31 41 35 41 41 31 37 32 43 36 31 43 41 39 34 45 33 33 38 35 42 46 37 00 00
00 00 00 00 00 00 00 00 8B 04 24 BF 11 E1 55 00 81 FF 51 E1 55 00 74 0E 36 8B 1F 36 89 18 83 C0
04 83 C7 04 EB EA BB 0F 00 00 00 33 C0 68 66 B7 40 00 C3 B9 42 74 82 09 50 C7 44 24 0C 42 74 82
09 C6 45 FC 02 E9 48 3A F5 FF B8 41 3A 5D E6 5F 5E 83 C4 64 E9 11 72 F8 FF
159544386.key
新建一个TXT文件 把以下代码粘贴进去并重命名为“159544386.key ”
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
易语言5.3版体积依旧很大,误报没有很大的改善,还是黑月编译器好用。。
果断OK了。。。
暗桩的问题,[url]http://www.52pojie.cn/forum.php?mod=redirect&goto=findpost&ptid=306245&pid=7052537[/url]最后发现
0045D5C5 3B7C9D D4 cmp edi,dword ptr ss:[ebp+ebx*4-0x2C]
0045D5C9 75 11 jnz X0045D5DC 这个地方直接nop是不行的
直接内存搜索二进制找到,修改成一样的值就可以了
2014.11.08 更新内容
1.解决编译出错问题
2.解决不能编译安装文件
3.去掉了安装包内的易语言例程,减少安装包体积
4.使用了VC8静态连接器,手动去掉勾选程序配置里的版本信息,插入花指令,可大大减少杀软的误报
5.易语言官方的不断更新,却一直忽视静态编译后的文件大小,你的程序体积将不可避免的增大
下载地址:
http://pan.baidu.com/s/1jG9Twm6
发现一个问题,使用VC8编译链接器静态编译dll会出错,换一个编译链接器就没事了
发现编译(F7编译)添加了模块之后会出错
2014.11.21 新发现暗桩,已解决http://www.52pojie.cn/forum.php? ... =306245&pid=7052537
2014.11.21易语言5.3破解补丁.rar
(832.83 KB, 下载次数: 895)
2015.01.20更新!
欢迎大家进行测试,发现问题,可以给我留言
2015.01.20
| 
[复制链接]
发表于 2014-11-2 16:26
|
发表于 2015-1-20 17:53
经过好多位会员的测试,我自己也发现了这个问题,这个验证好牛啊。。。。 调试多遍后发现,它同样检测OD断点的,运行之后程序是异常的。找出这个异常的位置,修改掉!经过多次调试,目前找不到问题了,如果有问题,可以给我留言!
给那些之前下载了我发布的易语言5.3破解版,说抱歉了!之前发的破解版本都存在暗桩问题未解决, 现在发布的版本欢迎大家测试,如有问题,请给我留言。
我是菜鸟
