感冒的猪baby
发表于 2018-4-4 15:09
一般情况下是hook 壳解码之后调用的第一个系统函数来hook,易语言一般是 kernel32.GetVersion,通常情况下可以hook CreateWindowExA或者 CreateWindowExW这是创建窗口,具体程序具体说。不着急hook的话可以延时3000-5000ms再补丁
帅帅的夏威夷
发表于 2018-4-4 16:00
感冒的猪baby 发表于 2018-4-4 15:09
一般情况下是hook 壳解码之后调用的第一个系统函数来hook,易语言一般是 kernel32.GetVersion,通常情 ...
好的,感谢老哥,晚上回家看看~~~
帅帅的夏威夷
发表于 2018-4-4 18:57
感冒的猪baby 发表于 2018-4-4 15:09
一般情况下是hook 壳解码之后调用的第一个系统函数来hook,易语言一般是 kernel32.GetVersion,通常情 ...
好像不行,不知道是不是我操作有误,{:5_184:}
帅帅的夏威夷
发表于 2018-4-4 19:06
帅帅的夏威夷 发表于 2018-4-4 16:00
好的,感谢老哥,晚上回家看看~~~
补完数据就直接停止运行了~~~
感冒的猪baby
发表于 2018-4-4 19:28
帅帅的夏威夷 发表于 2018-4-4 19:06
补完数据就直接停止运行了~~~
没有壳可以直接补丁啊
m251923314
发表于 2018-4-11 19:40
直接mov就好了呀