本帖最后由 1320014053 于 2020-5-5 15:54 编辑
aa2486717795 发表于 2020-5-4 20:30
是这样没错吧
你用的是不是虚拟机@aa2486717795
1320014053 发表于 2020-5-4 21:52
你用的是不是虚拟机@aa2486717795
我物理机运行的
1320014053 发表于 2020-5-4 21:52
你用的是不是虚拟机@aa2486717795
试试找退出干掉吧。FF25那里的看看
aa2486717795 发表于 2020-5-5 15:58
试试找退出干掉吧。FF25那里的看看
程序都还没有解码 找不到FF25 这个应该是他的壳触发的,因为程序还没有解码 @aa2486717795
1320014053 发表于 2020-5-4 22:12
程序都还没有解码 找不到FF25 这个应该是他的壳触发的,因为程序还没有解码 @aa2486717795
断点CreateFileW或者GetStartupInfoA
aa2486717795 发表于 2020-5-5 16:17
断点CreateFileW或者GetStartupInfoA
能录个视频吗 HB都是你的
aa2486717795 发表于 2020-5-5 16:17
断点CreateFileW或者GetStartupInfoA
他应该是这样的 那个exe程序调用一个dll文件 然后那个dll文件有SE壳 就不能调试了@aa2486717795
aa2486717795 发表于 2020-5-5 16:17
断点CreateFileW或者GetStartupInfoA
所以我感觉重点就是在他运行程序的时候生成的那个dll那里 他应该把程序都放在那个dll里面了 @aa2486717795
1320014053 发表于 2020-5-4 22:36
所以我感觉重点就是在他运行程序的时候生成的那个dll那里 他应该把程序都放在那个dll里面了 @aa248671779 ...
打开火绒,再打开软件,你会发现他加载了很多个驱动,用工具拦截他加载驱动吧
aa2486717795 发表于 2020-5-5 17:23
打开火绒,再打开软件,你会发现他加载了很多个驱动,用工具拦截他加载驱动吧
我试过用pchunter禁止加载驱动 结果不能运行@aa2486717795