关于重启暗装
本帖最后由 wdrvk 于 2014-12-26 18:18 编辑这是一个飘零软FZ,但是我只是找到了传输地址
载入OD找到地址219.235.5.79/lly/lly.asp
然后用esp定律004FC4AA/.55 push ebp 此处为OEP
按CTRL+F搜索config
搜到了好几个,可是却找不到飘零的版本,
于是我点M在内存中搜索config
还是找不到版本号,迷茫了啊
问题1:麻烦大大指点一下,这个软件的飘零版本怎么找?
因为不知道版本没办法山寨,所以我尝试用push法爆破
搜FF25找到0048C3A3
68 FC930152 push 0x520193FC
改为 68 10BB0152 push 0x5201BB10
然后F9运行
电脑果断重启了
然后我下断点ExitWindowsEx发现断不下来
我用XueTr工具禁止关机再调试还是没用,照样关机
问题2:关机暗装怎么找,如何去掉?
版本号、这个用一键取就可以了,如果一键取不到
那就是改表名了
520Kelly 发表于 2014-12-26 14:06
版本号、这个用一键取就可以了,如果一键取不到
那就是改表名了
那重启暗装怎么去掉?
wdrvk 发表于 2014-12-26 14:07
那重启暗装怎么去掉?
还没去调试 我说不出来、我等下下载看下,晚上给你做个教程啥的
本帖最后由 十月 于 2014-12-26 14:43 编辑
你们打开后有没有生成这个XXsrv.exe
提示文件不完整
附上火眼http://fireeye.ijinshan.com/analyse.html?md5=f7b6320d3a91b98ff4fe7605cc8e1c2f&sha1=83ee4746060e3bd4ec0a9679e4375b1a7fb8ecc7&type=1
他那个不是关机,是蓝屏造成的
https://www.52hb.com/thread-3802-1-1.html
找密码、找版本号……各种找。格盘讲的太详细了!自己去看看
版本号可以用config找~
还有就是你发的文件不全,本来想试试看的,运行不起来,缺文件~~~你再发个全包!
wdrvk 发表于 2014-12-26 14:07
那重启暗装怎么去掉?
这边搞得真特么头疼、文件不全导致各种问题、退出啥的、现在搞定了这一切、结果那些按钮全部都失效了、
真的醉了、头大了都,文件不全我也是醉了
搞完你这个飘零、易语言提示系统执行文件被病毒修改、真的是烦躁、
http://219.235.5.79/lly/lly.asp 传输地址
20080122 传输密码
3.3 版本号
飘零3.3的渣渣东西 文件不全的东西搞了头大、我真的是无语了、不想说什么 自己动手
520Kelly 发表于 2014-12-26 16:36
搞完你这个飘零、易语言提示系统执行文件被病毒修改、真的是烦躁、
http://219.235.5.79/lly/lly.asp 传 ...
这文件是我看见人家求破拿来教练手的,其实我也没有完成的……
找点杀毒碰到关机会自动拦截而且提示的呀,比如金山毒霸,火绒之类的
页:
[1]
2