软件处理完自动退出的问题 希望大侠们给指点指点
本帖最后由 BEYOND3892 于 2019-10-21 17:51 编辑软件地址下载:https://www.lanzouw.com/i6vwzqf 密码:3x92
这软件挺特别的,是本地机器码验证,但是呢,他套了一个E盾的壳
VM后的按钮地址是007A1EC7
E盾非法检测地址00423B55
获取机器码地址0042EB90
以前的版本基本都是在0042EB90的CALL直接ret,然后再把exist干掉运行起来,就可以跑起来了
但现在这么弄,一运行不起来,OD里也直接退出,我下过一个TerminateProcess的可以拦截到,然后ret到上一层,再leave ret到上一层,再继续leave ret到上一层,直到看到按钮事件位置,运行软件可以正常的运行起来,但是,后来我发现,这样弄的话,软件放到其他,任何一台电脑上,都打不开,我不知道为什么,应该还是,退出,找的不对
就想了解下,这个退出是在哪?很多都被VM了,怎么能一步一步的找到这个退出,让软件在任何电脑都可以正常的运行起来就行,或者有别的,更好的思路,达到最终软件运行正常,也可以,如果有大侠能随便录个几分钟教程,万分感谢!!!
思路也差不多 百度 自己查一下TerminateProcess 这个函数的用法 然后hook将参数1改为0 然后到上一程返回leave ret(TerminateProcess这个函数改参数就行了不用强行返回) 我的理解你可以下一个退出API函数看看可行不 想问下楼主按钮事件被VM了是怎么找到地址的呢 https://www.lanzouw.com/i6w64cf 看一下 本帖最后由 BEYOND3892 于 2019-10-21 21:12 编辑
xiyiyou 发表于 2019-10-21 20:59
https://www.lanzouw.com/i6w64cf 看一下
我自己也跟踪过对比的正版注册码,填写但是双击打不开,放你的winspool确实就能打开了,是否可以耽误几分钟,随便录个视频兄弟???然后winspool的源码是否也可以分享一下?感谢,然后可以的话,就送分了
我这自己弄的,肯定是哪1步,或者2步,有问题,没找到,所以一直不知道咋回事,想看兄台操作下和再看下源码,谢谢,下回我好,也自己知道下,怎么回事,遇到相同问题的时候
就是一步一步都是怎么来,再对比下源码修改,以后也好知道下,这个意思
xiyiyou 发表于 2019-10-21 21:13
思路也差不多 百度 自己查一下TerminateProcess 这个函数的用法 然后hook将参数1改为0 然后到上一程返回lea ...
看了你这句话,我回头再一看,居然我就只差了半步,我上面一层的leave ret的地址,弄错了居然,有的时候,各种方法弄多了,自己确实有点晕
页:
[1]