平常全V的E盾,怎么找push 60?
本帖最后由 花黎儿 于 2020-4-11 19:44 编辑论坛有很多玩E盾的大神,先膜拜一下~
好了,说正题:
偶尔会碰到E盾触发 push 60暗桩的。运行一段时间软件直接消失, 对于这种直接找push 60 段首ret就ok了
但是全v的。。。。 真的是我mama都不认识了。。。。push 60如何找,{:5_127:}
试过下exitprocess断点,他退出时断不下来....
FF 25 处的退出ret没有用,该消失还是消失,改了之后自己还关不了软件。。。。
有经验的大佬能说说 push 60这个暗桩是怎么触发的吗~
全V的该怎么找push 60这个退出暗桩。。。(希望大佬能指点一下、哪怕说个下什么断点都可以。。)
没有针对某一款软件,也不知道该上传啥软件。。
例子不合适,就删了。。。
只求能给个思路找全V的 push 60这个退出(我也不知道这个学名叫啥。。。)
手里头没有E盾源码只有天盾简单反汇编了一下自己看图!
图1是反汇编调用的代码是结束进程的,图2是调用结束代码的另一个命令
图3是一般情况触发的图!看不懂是吧!!那就拿无壳的取搜索push 60 看看他经过那里我猜肯定会经过核心支持库或者三方支持库!
牛逼~~~~ 全V的 PUSH 60也能找吧 过不了检测吧 换OD吧 1668497303 发表于 2020-4-11 18:16
全V的 PUSH 60也能找吧 过不了检测吧 换OD吧
OD过得了检测。全V的找不到,上传的例子就是全V的。。。 干掉盾验证就可以进界面了 Falsse 发表于 2020-4-11 19:12
干掉盾验证就可以进界面了
大佬,全V的push 60退出怎么找。。。
运行一段时间软件就自动没了。。不加vmp我知道是在push 60段首ret。。 特征码干 我现在就会一些简简单单的 一些难得我干不动 花黎儿 发表于 2020-4-11 20:32
大佬,全V的push 60退出怎么找。。。
运行一段时间软件就自动没了。。不加vmp我知道是在push 60段首 ...
找他干啥.逆向到位.触发不到这个暗装
页:
[1]
2