a5570622
发表于 2018-1-10 16:06
Falsse
发表于 2018-1-10 16:06
关机暗桩 O填充就好了
294746443
发表于 2018-1-10 17:47
windows 系统关机无非就是几条命令,如果软件无壳搜索shutdown -s -t XXX 就看作者怎么写了,还有一种就是taskmgr 结束svchost
xiaoniao
发表于 2018-1-10 17:47
本帖最后由 xiaoniao 于 2018-1-10 18:45 编辑
跟了下就是调用了关机函数
xiaoniao
发表于 2018-1-10 18:26
关机关键代码被VMHOOK 函数吧
a5570622
发表于 2018-1-10 20:28
294746443
发表于 2018-1-10 20:51
Falsse 发表于 2018-1-10 20:34
关机暗桩 O填充就好了
大大我的问题你能看看嘛
xiaoniao
发表于 2018-1-10 21:33
a5570622 发表于 2018-1-10 20:28
没接触过暗桩 不太明白 我用DispCallFunc找到了key 然后在内存里面找到了地址 补了后山寨成我的 然后登录 ...
你运行软件 然后找到00401000查字符然后 查找shut 然后跟进去
右键 数据跟随 立即数 找到SHUT 字符 然后00填充掉
补丁的话就XH补丁就可以。
XPJ666
发表于 2018-1-11 15:17
楼上的大牛们已经有正解
a5570622
发表于 2018-1-11 18:02
页:
[1]