退出暗装 C3CCCCCC558BEC8B450850B9
闪耀 发表于 2015-3-1 12:07
试试退出特征码
退出暗装 C3CCCCCC558BEC8B450850B9
你说的那里我已经RETN。但是我感觉另一个导致退出的地方是下边我找的这个判断
0050FC65 57 push edi
0050FC66|.E8 9F000000 call 牧马人.0050FD0A
0050FC6B|.6A 01 push 0x1
0050FC6D|.5F pop edi
0050FC6E|.393D D4896E00 cmp dword ptr ds:,edi
0050FC74|.75 11 jnz X牧马人.0050FC87
0050FC76|.FF7424 08 push dword ptr ss: ; /ExitCode
0050FC7A|.FF15 A8E35200 call dword ptr ds:[<&KERNEL32.GetCurrent>; |[GetCurrentProcess
0050FC80|.50 push eax ; |hProcess
0050FC81|.FF15 C4E15200 call dword ptr ds:[<&KERNEL32.TerminateP>; \TerminateProcess
0050FC87|>837C24 0C 00cmp dword ptr ss:,0x0
0050FC8C|.53 push ebx
0050FC8D|.8B5C24 14 mov ebx,dword ptr ss:
0050FC91|.893D D0896E00 mov dword ptr ds:,edi
0050FC97|.881D CC896E00 mov byte ptr ds:,bl
0050FC9D|.75 3C jnz X牧马人.0050FCDB
0050FC9F|.A1 F4CB6E00 mov eax,dword ptr ds:
0050FCA4|.85C0 test eax,eax
0050FCA6|.74 22 je X牧马人.0050FCCA
0050FCA8|.8B0D F0CB6E00 mov ecx,dword ptr ds:
0050FCAE|.56 push esi
0050FCAF|.8D71 FC lea esi,dword ptr ds:
0050FCB2|.3BF0 cmp esi,eax
0050FCB4|.72 13 jb X牧马人.0050FCC9
0050FCB6|>8B06 /mov eax,dword ptr ds:
0050FCB8|.85C0 |test eax,eax
0050FCBA|.74 02 |je X牧马人.0050FCBE
0050FCBC|.FFD0 |call eax
0050FCBE|>83EE 04 |sub esi,0x4
0050FCC1|.3B35 F4CB6E00 |cmp esi,dword ptr ds:
0050FCC7|.^ 73 ED \jnb X牧马人.0050FCB6
0050FCC9|>5E pop esi
0050FCCA|>68 10216700 push 牧马人.00672110
0050FCCF|.68 04216700 push 牧马人.00672104
0050FCD4|.E8 43000000 call 牧马人.0050FD1C
0050FCD9|.59 pop ecx
0050FCDA|.59 pop ecx
0050FCDB|>68 1C216700 push 牧马人.0067211C
0050FCE0|.68 14216700 push 牧马人.00672114
0050FCE5|.E8 32000000 call 牧马人.0050FD1C
0050FCEA|.59 pop ecx
0050FCEB|.59 pop ecx
0050FCEC|.85DB test ebx,ebx
0050FCEE|.5B pop ebx
0050FCEF 74 07 je X牧马人.0050FCF8////////////////////这里判断
0050FCF1|.E8 1D000000 call 牧马人.0050FD13
0050FCF6|.5F pop edi
0050FCF7|.C3 retn
0050FCF8|>FF7424 08 push dword ptr ss: ; /ExitCode
0050FCFC|.893D D4896E00 mov dword ptr ds:,edi ; |
0050FD02\.FF15 B0E25200 call dword ptr ds:[<&KERNEL32.ExitProces>; \ExitProcess////退出
520Kelly 发表于 2015-3-1 15:42
感觉把那个jnz直接NOP了以后,死活都会退出,
所以还是push 窗体自行解决暗桩吧,只是不知道有没有功能 ...
我PUSH找不到地址,PUSH 10001找到的哪个地址不知道为什么,没有反应
东子郭 发表于 2015-3-1 15:47
我PUSH找不到地址,PUSH 10001找到的哪个地址不知道为什么,没有反应
push 52010001是正确的窗体、
520Kelly 发表于 2015-3-1 15:48
push 52010001是正确的窗体、
我就是用的这个地址,push 52010001,是不是我操作有问题,我很少用push方法的。我曹组的流程:运行程序--来到00401000处---push 10001---找到窗体(52010001)---FF 25处---向上找到push xxxxx--修改成push 52010001---运行程序。对吗?
kingone 发表于 2015-3-1 09:23
不知道是否有功能哦。
能详细说明一下或者出个教程吗?谢谢
520Kelly 发表于 2015-3-1 15:48
push 52010001是正确的窗体、
已经按照你说的成功出现程序界面,但是没有功能
520Kelly 发表于 2015-3-1 15:42
感觉把那个jnz直接NOP了以后,死活都会退出,
所以还是push 窗体自行解决暗桩吧,只是不知道有没有功能 ...
能告诉我这是什么网络验证吗?谢谢
东子郭 发表于 2015-3-2 22:04
能告诉我这是什么网络验证吗?谢谢
飘零云、push窗体应该是没功能的、
本帖最后由 东子郭 于 2015-3-2 22:32 编辑
520Kelly 发表于 2015-3-2 22:05
飘零云、push窗体应该是没功能的、
我刚才也搜索了一下,是云验证,我截取的网络验证的有一个网址:X1.27ZY.COM,是不是这种东西山寨才能有功能?push我试过了肯定没有功能,补码会不会有功能?
页:
1
[2]