这软件感觉已经不是暗装的问题了。是系统的问题吧
win不是提供了一个进程作业机制吗?在作业里的进程可以限制权限,比如,不能关机。vista以后会默认把程序放到一个作业里面,要修改它的manifest。自己写代码搞定。
SHUTDOWN不是有字符串么? 还有内存地址,直接ctrl+g跳转到地址,逐层往上分析,不要段首ret。看看有没有跳过或者赋值,因为暗装可能并不是一个
whatever1s 发表于 2018-2-18 00:04
有没有通俗易懂的操作方式。。我有点不明白那个意思,我刚刚直接汇编改成了retn,软件运行过程中就会报错 ...
他是让你找到这个段的段首,然后retn
看图逆向..发软件链接呀 上传度娘或者微云都可以
569121786 发表于 2018-2-18 16:09
暗装已经去掉了,很简单的,代码被v了,上面有一个push ebp,直接ret,吾爱汇编OD运行,无关机
兄弟 确实不会关机了,但是脚本程序也无法运行,运行到一半就断了
whatever1s 发表于 2018-2-20 23:05
兄弟 确实不会关机了,但是脚本程序也无法运行,运行到一半就断了
那就找时钟,看看有没有循环检测防逆向,把退出ret掉,你说的去掉暗装,我只是去掉暗装,在OD内运行了,没关机了
569121786 发表于 2018-2-21 11:48
那就找时钟,看看有没有循环检测防逆向,把退出ret掉,你说的去掉暗装,我只是去掉暗装,在OD内运行了, ...
我在想能不能找关键CALL 去改,有点难受
569121786 发表于 2018-2-21 11:48
那就找时钟,看看有没有循环检测防逆向,把退出ret掉,你说的去掉暗装,我只是去掉暗装,在OD内运行了, ...
已经逆向掉了 ,谢谢大佬,我没有去逆向注册码,我直接逆向的开始按钮- -,不注册的情况下直接使用,然后按照你的方式把关机暗装去了,就正常使用了,谢谢,最佳答案给您了,如果大佬用空,看能不能帮我看看怎么逆向里面的永久功能,就是非永久用户无法打钩的位置。
残魂 发表于 2018-2-18 00:41
先给你看下图。我用本机试试。win7 64的
直接逆向的F9按钮,然后关机字符上 段首直接RETN,就PJ了。谢谢哈,已经搞完了