理论大于实际派 发表于 2017-8-7 22:07
老鸟,你说的两种方法我都试了,改好后按F9继续,还是弹网页。
文件是:http://pan.lanzou.com/1466460
...
我试了,把网址用0填充后没有弹网页,只是这个FZ是VMP的壳,是不能直接保存的,要打补丁
你把那个12680改为RETN也是可以的,我试了
byh3025 发表于 2017-8-7 22:18
我试了,把网址用0填充后没有弹网页,只是这个FZ是VMP的壳,是不能直接保存的,要打补丁
是啊,保存不了,我不会弄了,怎么打补丁我还没学呢,我刚才去上网查了,不让保存就是VMP的壳,用peid查不出来是吧?
老鸟,补丁是怎么打的?能给个补丁让我看看效果吗?我研究研究。
byh3025 发表于 2017-8-7 22:18
我试了,把网址用0填充后没有弹网页,只是这个FZ是VMP的壳,是不能直接保存的,要打补丁
网上查到的资料:找到你修改过的地址,在补丁上打上修改过的代码
还有,你是文件补丁还是内存补丁?
不是不让保存就是VMP的壳,带壳的都不让保存的,用PEID是能查到的,你用的是哪一个,A还是B?
byh3025 发表于 2017-8-7 22:30
不是不让保存就是VMP的壳,带壳的都不让保存的,用PEID是能查到的,你用的是哪一个,A还是B?
我用的A,我用peid查了,区段里确实显示VMP了
byh3025 发表于 2017-8-7 22:30
不是不让保存就是VMP的壳,带壳的都不让保存的,用PEID是能查到的,你用的是哪一个,A还是B?
老鸟,我按你说的,Ctrl+F2载入后,搜索00412680,然后汇编成retn,它自动把12681改Nop了,我点击F9运行,还是弹网页啊,我的操作出现了什么问题?
本帖最后由 理论大于实际派 于 2017-8-7 23:00 编辑
理论大于实际派 发表于 2017-8-7 22:35
我用的A,我用peid查了,区段里确实显示VMP了
@byh3025 老鸟,我先重载了文件,然后搜12680,改retn,12681自动nop了,我按F9,还是弹网页,是我操作的问题吗?
理论大于实际派 发表于 2017-8-7 22:56
@byh3025 老鸟,我先重载了文件,然后搜12680,改retn,12681自动nop了,我按F9,还是弹网页,是我操作 ...
不删除分析是不能改的,你试试这个
byh3025 发表于 2017-8-7 23:29
不删除分析是不能改的,你试试这个
谢谢老鸟,我看看。