网站 › 『=悬赏求助=』 › 注册宝软件更新后变英文不知道该从那断了

5331423 发表于 2016-9-17 12:28

注册宝软件更新后变英文不知道该从那断了

本帖最后由 5331423 于 2016-9-17 17:56 编辑

注册宝软件更新后变英文不知道该从那断了 COMHOOK我会，就是每次都要注入DLL 太麻烦了，软件上个版本补丁都知道从哪里下 这次更新英文不知道从哪弄了

麻烦告诉这样的格式补丁

00403343      90            nop
00403344      90            nop
00403345      90            nop
00403346      90            nop
00403347      90            nop
00403348      90            nop

00403125      90            nop
00403126      90            nop
00403127      90            nop
00403128      90            nop
00403129      90            nop
0040312A      90            nop

难寻。 发表于 2016-9-17 12:28

本帖最后由 难寻。 于 2016-9-17 13:56 编辑

00701F53CB D0 D0 B1 BE C8 ED BC FE 21 00 38 41 32 31 31诵斜救砑?.8A211
00701F6338 36 45 2D 30 36 36 42 2D 34 33 41 37 2D 42 4486E-066B-43A7-BD
00701F7333 34 2D 43 46 45 33 44 46 45 37 38 30 31 33 0034-CFE3DFE78013.
00701F835A 31 30 34 31 31 36 31 00 56 65 72 00 41 70 70Z1041161.Ver.App
00701F9349 6E 69 74 69 61 6C 69 7A 65 00 A3 AC CA F4 D0Initialize.，属?
表示 没有其他数据 直接山寨即可，补丁数据
00701F53         CB D0 D0 B1 BE C8 ED BC FE 21 00 31 38 31 31 37 41 31 45 2D 39 34 45 35 2D 34 31 34 38 2D 41 31 44 32 2D 32 30 43 44 44 36 38 30 34 34 34 43 00 5A 31 30 32 36 32 34 37 00 56 65 72 00 41 70 70   
需要知道啥就告诉我 200 HB 必须服务到位哈哈



附上劫持补丁一枚，，直接扔软件文件夹，重命名rar 为DLL即可 ，看好是重命名 不是解压、、，这是我的后台补丁，送你永久帐号 ：帐号adsl33322y密码adsl333222，你可以测试下~应该是不用测试没问题，你直接山寨你后台就行

Luffy 发表于 2016-9-17 13:05

本帖最后由 Luffy 于 2016-9-17 13:11 编辑

程序太大了， 不下载了。用以下2种方法搜索字符串吧

第一种方法，先搜字符串找到“krnln.fnr”,找到下面的第二个CALL EAX下断，F9到这里，然后F7加F8跟到如下易语言原体的地方再次搜字符串就能搜到了。
00403384    FC            cld
00403385    DBE3            finit
00403387    E8 F6FFFFFF   call abc.00403382
0040338C    68 83334000   push abc.00403383
00403391    B8 03000000   mov eax,0x3
00403396    E8 32000000   call abc.004033CD
0040339B    83C4 04         add esp,0x4
0040339E    68 01000152   push 0x52010001
004033A3    E8 1F000000   call abc.004033C7
004033A8    83C4 04         add esp,0x4
004033AB    6A 00         push 0x0
004033AD    E8 0F000000   call abc.004033C1
004033B2    E8 04000000   call abc.004033BB
004033B7    83C4 04         add esp,0x4
004033BA    C3            retn

第二种方法要比第一种方法更快更简单。
第一步先找到程序文件的DATA段的起始地址。通常都是00403000.第一步基本上可以省略。
第二步直接运行程序，再CTRL+G，定位到DATA段的起始位置，即00403000.再搜字符串就可以搜出来了。其实和一般的程序差不多，其它的程序是先运行，然后定位00401000开始搜字符串，不同的是独立编译的易语言程序要定位到00403000
补丁
写内存字节集 (取进程ID (进程ID), 十六到十 (修改地址), 还原字节集 (“909090909090”)

5331423 发表于 2016-9-17 13:22

Luffy 发表于 2016-9-17 13:05
程序太大了， 不下载了。用以下2种方法搜索字符串吧

第一种方法，先搜字符串找到“krnln.fnr”,找到下面 ...

还是没太明白 不好意思，我不太懂 新玩家

Luffy 发表于 2016-9-17 13:46

5331423 发表于 2016-9-17 13:22
还是没太明白 不好意思，我不太懂 新玩家

OD载入，ALT+M，在第二个.data段F2下断，F9运行。中断在krnln库文件代码   里，F8单步过下面的JMP就到程序领空了，这时就可以找字符串了。

5331423 发表于 2016-9-17 14:16

难寻。 发表于 2016-9-17 13:34
00701F53CB D0 D0 B1 BE C8 ED BC FE 21 00 38 41 32 31 31诵斜救砑?.8A211
00701F6338 36 45 2D 30 ...

怎么找到00701F53

Aydos 发表于 2016-9-17 14:30

难寻。 发表于 2016-9-17 13:34
00701F53CB D0 D0 B1 BE C8 ED BC FE 21 00 38 41 32 31 31诵斜救砑?.8A211
00701F6338 36 45 2D 30 ...

你是怎么 断下来的，我的一个注册宝也和他一样的情况，求解答

5331423 发表于 2016-9-17 14:48

ads123123 发表于 2016-9-17 14:30
你是怎么 断下来的，我的一个注册宝也和他一样的情况，求解答

我也没有断下呵呵 研究呢

5331423 发表于 2016-9-17 15:13

难寻。 发表于 2016-9-17 13:34
00701F53CB D0 D0 B1 BE C8 ED BC FE 21 00 38 41 32 31 31诵斜救砑?.8A211
00701F6338 36 45 2D 30 ...

怎么山寨啊

5331423 发表于 2016-9-17 15:17

Luffy 发表于 2016-9-17 13:46
OD载入，ALT+M，在第二个.data段F2下断，F9运行。中断在krnln库文件代码   里，F8单步过下面的JMP就到程 ...

能不能给个教程我，谢谢

查看完整版本: 注册宝软件更新后变英文不知道该从那断了