xin2819800 发表于 2017-10-27 14:34
沙币 孩子 1个你就是,!我本事大不大,用你在这指手画脚?嗯?我本事在不大,也比你强,你可懂这点?还 ...
没想到这论坛上有本事的人,不出来说话,你这种没本事,天天像疯DOG一样咬人赚点HB的人到是不少,你这脑CHAN,也就能找比LZ这种没学几天逆向的人来比较,找点优越感,不然你哪来的动力继续下去呢?你也能PJ?你也就是到处找点别的大神搞好的,自己再出来装装B,搞个什么补丁骗点悬赏HB吧,去吃SHI吧,那玩意多吃点,对你这种疯DOG有好处,可以多点口水来臭大街。一条人见人嫌的疯DOG。
zhxh18889 发表于 2017-10-27 14:43
没想到这论坛上有本事的人,不出来说话,你这种没本事,天天像疯DOG一样咬人赚点HB的人到是不少,你这脑C ...
哈哈!HB能够干啥?能卖qian?回复1个帖子 1个,我在乎你那30?有没有本事,不是用嘴说的,有本事上软件?破了,喊die吗你?软件让你选,咱俩同时破,我看看你水平到底有多牛,!你玩嘴 玩的狠厉害,!实际行动上 我看你也是个废物,!这么简单的软件,你都搞不定,还悬赏呢,还研究1天呢,你快让你die笑死了,!你知道你像个什么吗?长毛大sha吊~~~你知道是啥意思么?拿镜子照照自己的 德行在说话!!
最后在问你1句,上软件?来来,你不是说我没实力吗?上软件,?我破了,你喊声die就行了,破了的软件当我免费送你了!
这几天太忙了,也没时间上论坛看看,我大概说下思路吧。不想录教程,做图文教程吧
1.调试器我就不多说了哈,你手上必须得有一个可以过强壳的调试器,这里不做评价~
2.易语言他有的按钮事件就是 FF 55 FC 5F 5E 这个是易语言的事件,可能楼主是新手不太懂,知道是这么回事就行,以后再慢慢去理解!
3.这个程序的大概思路,打开程序 他有60秒倒计时检测。这过程肯定有一个时钟在控制着这个, FF 55 FC 5F 5E 这个易语言事件 不管是按钮还是其他操作,只有有事件产生他会会断下
4.载入调试器,快捷键CTRL+G 转到输入窗口,如果不想快捷键的话 鼠标在CPU窗口右键->转到->表达式.
5.输入一个APIGetVersion,会来到图上的地址 在 那个 ret处 鼠标右键->断点->切换- 。 快捷键是 F2
6.下好断点后 快捷键F9让程序跑起来,程序会断在 ret处 然后
7 点那个图标M字母,弹出一个内存窗口 查看 PE头下面的地址是多少.
从这个内存窗口可以看到 PE头下面的地址是 00401000 那么可以回到CPU窗口输入快捷键 CTRL+G
或点图上的那个小图标 ->这样的箭头 然后输入 00401000
来到00401000处后 可能会出现这个情况,通常情况下我们可以按快捷键 ctlr+A 分析一下,或鼠标右键->分析->从模块中删除分析.
删除分析后的结果
此时的程序已经解码了,至于什么是解码,现在不需要了解,以后学习深入了就会知道了!
此时可以按快捷键 CTRL+B 输入 FF55FC5F鼠标操作的话,右键 ->查找->二进制字符串!
输入 FF55FC5F5E
点确定 会定位要易语言事件的特征处
这个CALL就是事件的位置,下个CC(快捷键F2)断点,然后F9运行
注意断下都 按键盘的F7键进入
F7进入后的代码,发现被VM了,但这并不是我们想要的关键,那个 易语言事件断点别取消掉,在一次F9运行
第二次在运行一下后就是时钟的代码了
简单说明下。
1.第一次的易语言事件,他在启动窗口的时候做了些程序的初始化或其他的工作
2.第二次运行的时候来到易语言的事件,刚好是时钟控制的事件,一般时钟控制的子程序不会进行VM保护(不懂VM的暂时可以不理解!),因为对时钟这种高频率调用进行VM的话程序卡.
这个地方就是我上次说的位置。
00413C11/.55 PUSH EBP
00413C12|.8BEC MOV EBP, ESP
00413C14|.81EC 20000000 SUB ESP, 0x20
00413C1A|.FF05 7C477800 INC DWORD PTR DS:
00413C20 833D 7C477800>CMP DWORD PTR DS:, 0x3C // 这里3C就是 十进制的60秒
00413C27|.0F8E 2C000000 JLE UU换肤.00413C59//这里判断 0x78477C是否小于60,如果小于60就继续广告,等大于60的时候才正常去掉广告 !。我们不想的话可以两种选择
NOP掉jle这个,或在上面那个 CMP DWORD PTR DS:, 0x3C将3C改成1 或2也行 相当于 1~2秒后结束广告!
好好学习天天向上!多看看基础的教程! 打补丁的话,有很多现成的工具可以拿来用,这里我比较喜欢自己写!。
准备工具
1.一个易语言 这里我用易语言 5.6
2.准备一个精易模块
2)1.精易模块下载地址:http://ec.125.la/
3)源码+模块下载
@zhxh18889
看你们打嘴仗真是够无聊的, 我给你录了一个教程~ 也不知道你能理解不,我也不知道录的详细不详细~大概就这样了吧,,里面带了逆向源码跟模块。
好好学习,打打基础., 天天向上! 哈哈哈哈哈哈
教程地址:链接:https://share.weiyun.com/56b8d43f9485150e3499cee4cfd9b871(密码:XX4K)
解压密码:Azahod
教程附带了教程中用到的调试器跟补丁源码+模块!
好好学习,打打基础,天天向上 哈哈哈哈哈哈
链接:https://share.weiyun.com/56b8d43f9485150e3499cee4cfd9b871(密码:XX4K)
解压密码:Azahod
链接:https://share.weiyun.com/56b8d43f9485150e3499cee4cfd9b871(密码:XX4K)
解压密码:Azahod
@zhxh18889
Azahod 发表于 2017-10-29 03:40
@zhxh18889
多谢高人指点,感觉这论坛还是您这样有本事的人多些,滥竽充数的疯DOG+脑CHAN少些,环境会好很多!
可惜我等级低无法加好友,不然可以多向您请教,不求您有求必应,只求您在不忙的时候给点提示就行,逆向之路漫漫,有良师益友相伴,感觉就不那么枯燥无味了,谢谢!
本帖最后由 Azahod 于 2017-10-29 17:25 编辑
zhxh18889 发表于 2017-10-29 15:42
多谢高人指点,感觉这论坛还是您这样有本事的人多些,滥竽充数的疯DOG+脑CHAN少些,环境会好很多!
可惜 ...
教程没看懂的话 回帖就行了!
以后有不懂的地方 @我就行了,只要我会的,我看的到~我尽可能解答你的问题~
昨晚的图文,系统一直提示 存在敏感词汇,也就录个教程,也存在敏感词汇。 哈哈 今天一看一堆我的回复。。。。
原来是人工审核一遍~。。sorry~