冷瞳 发表于 2015-8-15 21:01
4.0山寨就好咯
程序的动态名的 山寨也不好使啊 打winmm.dll报错
我上次不是山寨了 什么暗装都没有
三轮车 发表于 2015-8-15 22:09
我上次不是山寨了 什么暗装都没有
有暗装 我下载进去试过了 关机 数组错误
{:5_117:} 第一个问题 应该是图片资源 插入的fuck you在插入之前已经加好壳,所以 没出fuck 之前的主程序 只是起到一个寄存或者某种功能,按目前来看只是为了解压第二个EXE两种壳大概是为了迷惑人吧。应该是为了扰乱PEID
把提示数组成员错误的CALL NOT掉 或者找关键跳
本帖最后由 叶若 于 2015-8-16 00:26 编辑
fuckyou.exe 这个才是主程序
- -,酷炫FZVIP版.exe 就算运行了它 执行的程序还是fuckyou.exe刚刚山寨了.没这游戏 没法测试
确实是飘零4.0的,我之前一直都是用山寨的。
之前连退出暗桩都没有,最近PJ的人比较多吧。
annbrother 发表于 2015-8-15 21:24
一定是4.0
本帖最后由 sure 于 2015-8-16 06:47 编辑
由于没有游戏,不能调试 下标数组的暗莊。
你可以下信息框断点,然后在堆栈找返回,把段首ret 就可以了。信息框直接在api插件里下,把4个MessageBox??? 都下断`
bp MessageBoxA bp MessageBoxW bp MessageBoxExA bp MessageBoxExW
然后进游戏测试~点击启动FZ,接着功能暗莊会被api拦截~此时看堆栈~找返回地址,一个一个的找~ 找到返回地址,就往段首都下个F2断点。
然后重载OD~继续运行··把断点都激活,在去启动FZ,这时候功能暗莊要出现时·会断在push ebp这种段首·此时ret 就OK了
我这些数据是 8.13新版本的,
004182CF E99AE10C00//hook Jmp 004E646E
004E646E 588BD883C31CC703010000008BE55DC3//patch
0041DD32 EB6590909090//更新
0041163F C21000//关机
0045F210 C3//退出
0041163F C3 retn
00411909 C3 retn
0045F210 C3 retn
上面这三个是退出和关机
这个应该是下标数组成员错误:0045F0C0 C3 retn