如何去除程序的自我关闭
有个软件,好不容易找表示位能进去,然后进去之后就会自动关闭我的思路是下API断点,比如exitprocess\terminateprocess\exitthread之类的
确实能断下来 比如terminateprocess这个
但这不是程序的领空,所以不能去除这个关闭程序的API
求教该怎么解决这个问题
另外想问下在win7 32x虚拟机里制作的补丁在win10 64物理机没用能有什么办法解决
本人是新手,还请懂的大佬不吝赐教
在此对回复本贴提供想法的各位网友提前感谢{:7_268:}{:7_268:}{:7_268:}
断下来后看返回的地址 可以找到相关调用位置 DEEMO 发表于 2018-6-22 15:17
断下来后看返回的地址 可以找到相关调用位置
这是断下来之后的完整OD截图
想请问下怎么能找到相关调用位置。。。麻烦告知下具体的流程或者其他哪儿有讲解的教程,感谢
cuicuifly 发表于 2018-6-22 15:27
这是断下来之后的完整OD截图
想请问下怎么能找到相关调用位置。。。麻烦告知下具体的流程或者其他哪儿有 ...
我也不确定, 你可以看下堆栈 里有没有返回到 “程序名称”的 返回程序领空看看 要不然就只能字符串分析 或者按钮事件跟了 ladybe 发表于 2018-6-22 15:52
返回程序领空看看 要不然就只能字符串分析 或者按钮事件跟了
大哥。。你这说的太空洞了啊。。。{:7_249:}求详解,主要是堆栈窗口那看不懂 不知道怎么能操作 堆栈窗口回车返回 看看是那个位置调用的不然就按钮事件一路f8 遇到可疑的就标注啊 要是易语言直接Ctrl+BFF 25 有一大串jump里面有个exitprocess段首ret xkang 发表于 2018-6-22 17:43
要是易语言直接Ctrl+BFF 25 有一大串jump里面有个exitprocess段首ret
可惜不是易语言。。MFC的 ladybe 发表于 2018-6-22 17:01
堆栈窗口回车返回 看看是那个位置调用的不然就按钮事件一路f8 遇到可疑的就标注啊
回车过去应该就是调用的地方吧,但是那位置走不到,为什么啊。。。
页:
[1]
2