易游的验证,主要是搞他的信息框
文件打开的时候会有一个信息框。如上图,我载入OD,下信息框断点和createwindow 断点都不行,被VMP检测到了。
我感觉这个弹窗是取的易游的后台公告,抓包也抓不到这个窗口的后台地址。。不知道要怎么搞了。。
等大佬出个方法。最好是可以拿到他易游的调用地址。
下载:https://www.lanzoux.com/iaJXMf2alzi
本帖最后由 梨花压海棠丶 于 2020-7-29 16:37 编辑
樱花落满地 发表于 2020-7-29 16:31
我...直接在系统领空RET 18吗,我试了试没弹窗,但是补丁能打到系统领空吗,,还是我误解你的意思了,
APIHOOK 在系统领空为什么不能修改内存呢·弄个劫持补丁 就行了
上面都说了 GetProcAddress (GetModuleHandle (“user32.dll”), “MessageBoxTimeoutW”) 这句代码就是获取到那个API函数的地址的 ,方便你下面修改内存 RET 18 用的内存修改字节集第二个参数不就是内存指针吗? 就用上面获取的API地址就行了
00E7A527 C9 leave
00E7A528 C3 retn
00E7A529 90 nop
00E7A52A 90 nop
00E7A52B 90 nop
给分吧!!!{:5_121:} 涛涛 发表于 2020-7-28 15:42
00E7A527 C9 leave
00E7A528 C3 retn
00E7A529 90 nop ...
{:5_184:}出个方法思路啊。。。 楼上大题小作了。。。。hook MessageBox就行了还懒得去内存找 本帖最后由 梨花压海棠丶 于 2020-7-28 17:42 编辑
hook MessageBoxTimeoutW API直接返回 就行了
想改信息也可以ESP+8位置就是信息了源码如下:
lpAddress = GetProcAddress (GetModuleHandle (“user32.dll”), “MessageBoxTimeoutW”)
VirtualProtect (lpAddress, 3, #PAGE_EXECUTE_READWRITE, out)
WriteProcessMemory (#INVALID_HANDLE_VALUE, lpAddress, { 194, 24, 0 }, 3, #NULL)
这个有网盘吗{:5_188:} 梨花压海棠丶 发表于 2020-7-28 17:32
hook MessageBoxTimeoutW API直接返回 就行了
想改信息也可以ESP+8位置就是信息了源码如下:
lp ...
大哥调试器 能分享下吗 浪子丶 发表于 2020-7-28 17:55
大哥调试器 能分享下吗
百度 x32 dbg 梨花压海棠丶 发表于 2020-7-28 17:57
百度 x32 dbg
没插件,界面看着也没你这个顺眼!!!