这个可可9.5图文教程的疑惑
图文地址 https://www.52hb.com/thread-52442-1-1.html我也不清楚可可9点几,就当9.5吧
图文指出可可验证在bin.dat中,
通过字符串那个ks_advapi回溯,其实我不清楚他具体这么做的原因,
然后就说回溯到按钮事件,也不清楚他是怎么肯定这个就是按钮事件,然后也没看出具体作用,
然后说是无壳程序,就不进行分析了,无脑单步跟踪既可,
有谁成功没?
我自己来到bin.dat后,直接通过文本比较下断,改返回值后,软件就直接假死没反应了
还有个问题,这个bin.dat的解码段很大,比如该图文中的按钮事件地址1003AD01 E8 C5CCFCFFcall bin.100079CB
怎么HOOK住bin.dat 似乎也没法打补丁啊
回束一次 就登录一次 直到最后一次下断点的时候 没有断下 就说明前一个CALL下断的那个地址就是按钮事件CALL 然后无脑单步跟踪就是F7进CALL F8单步走就行了一般易语言作者就是在按钮事件下写验证代码 所以按钮事件断下后 F7进CALL 然后F8单步跟就行了 主要注意进CALL后 下面马上跟着一个代码是mov xxx,eax通常这种代码就是调用子程序 然后返回值在eax中 验证的子程序肯定是有返回值的 然后作者会根据这个返回值进行计算或者判断 所以就补码这个地方就行了能说的就是这么多了这都是摸索出来技巧 然后更多的需要你自己去实践 去操作 然后去判断 分析建议多看看原理 而不是一味的追求特征码 文本比较 其他的一些东西 首先 你没必要死关注什么文本比较在ks_advapi下断后 ebp+4保存了上一层调用返回地址 跟踪过去 上一个指令CALL下断 然后重复的操作 ebp+4保存的上一层返回地址 一直找上去就可以定位到按钮事件的地址 然后bin.dat我这边的基址是001000000 所以偏移是3AD01在你那边复制这个bin.dat的基址然后加上偏移就是按钮事件的地址补丁很好打的 先获取到模块基址然后加上偏移 就是加载的地址 风晨 发表于 2021-9-29 21:08
回束一次 就登录一次 直到最后一次下断点的时候 没有断下 就说明前一个CALL下断的那个地址就是按钮事件CALL ...
厉害,受益匪浅。 楼主 你搞定没有.找到它的退出了吗, Just_Like_Fire 发表于 2021-10-1 20:09
楼主 你搞定没有.找到它的退出了吗,
没在研究,你若进到功能窗口说下方法, 192939 发表于 2021-10-1 20:22
没在研究,你若进到功能窗口说下方法,
没我找不到它的退出.PJ了就退出. 192939 发表于 2021-10-1 20:22
没在研究,你若进到功能窗口说下方法,
你有空的话,找下退出呢?
页:
[1]