E盾DLL无壳 里面有2个单独收费功能
本帖最后由 苏阳真帅啊 于 2020-8-8 11:40 编辑嗯 是不错 地址呢 分析过程,昨天忘记上传了,补上e盾查了一下无壳,只是部分代码被vm了,直接用论坛前辈留下的特征码
登录push 20
02C7D823 B8 01000000 mov eax,0x1
02C7D828 8BEC mov ebp,esp
02C7D82A 5D pop ebp ;Loaddll.00401477
02C7D82B C3 retn
第二步,时间先找空白地址,补个99999
第三步 搜索时间特征码:sub esp,84
02C8FF0F B8 5004E202 mov eax,PubLic.02E20450 ;ASCII "99999"
02C8FF14 8BE5 mov esp,ebp
02C8FF16 5D pop ebp ;Loaddll.00401477
02C8FF17 C3 retn
第四步 搜索合法 sub esp,88
02C831C6 C9 leave
02C831C7 C3 retn
02C831C8 90 nop
然后保存,用注入器注入,原图的PIG窗口能正常hook出来!
炸人窗口无法正常hook出来!
本帖最后由 苏阳真帅啊 于 2020-8-8 23:51 编辑
杀毒链接:https://r.virscan.org/language/zh-cn/report/417bd366a903b15592f4c4c2326b8b62
下载地址:https://wwe.lanzouw.com/in7okffivla 1785220186 发表于 2020-8-8 16:38
嗯 是不错 地址呢
{:5_117:}昨天没来的及上! dll还有一个E盾验证
1000D823 B8 01000000 mov eax,0x1
1000D828 C2 1000 retn 0x10
1000D82B 90 nop
1001FF0F C9 leave
1001FF10 C3 retn
1001FF11 90 nop
10113CB0 C9 leave
10113CB1 C3 retn
10113CB2 90 nop
10113CB3 90 nop
10019174 C3 retn
把dll的二次验证E盾再过一遍 试试 炫舞的我没下
页:
[1]