大牛们.一个退出暗桩的问题.
牛牛们...我最近被安装搞醉了.飘零云的FZ.爆破了.但是不管怎么搞.都会自动退出.才入门,所以实在搞不定.特来求助.
爆破点:00443F6C
修改前:cmp dword ptr ss:,0x1
修改后:cmp dword ptr ss:,0x0
退出的地方我只分析出来2个.
第一个是: 0049E800 55 push ebp(我retn了.没用.)
然后我下BP ExitProcess退出断点.找不到段首...我就醉了..
希望大牛们给个思路.这个退出应该怎么处理.让我多赞赞经验.感谢.
链接:http://pan.baidu.com/s/1jG3kR5O 密码:zcgv
00443F70 90 nop ;真正的爆破点
牧马人2.exe!00650063() 异常的返回值
牧马人2.exe!00410072()
54db07c7 引起内存访问无效异常的地址
nop 就不弹框了
引用亚轩:
退出特征码:
C3 CC CC CC 55 8B EC 8B 45 08 50 这个是下面的断首retn
C3 CC CC CC 这个是上面的断首retn
再有问题我也无能为力了,各种都拦截不到了。。
亚轩 发表于 2015-3-4 21:38
退出特征码:
C3 CC CC CC 55 8B EC 8B 45 08 50 这个是下面的断首retn
测试无果.......继续退出.
他那个退出好像是用易原体上面两个call开始的、、具体原因不知道 我调试过
520Kelly 发表于 2015-3-4 21:45
他那个退出好像是用易原体上面两个call开始的、、具体原因不知道 我调试过
易原体那个退出call 我给他retn测试过也是不行.
枫叶 发表于 2015-3-4 21:46
易原体那个退出call 我给他retn测试过也是不行.
我知道不行,反正死活就是退出、我是没办法了、push窗体没有功能的
520Kelly 发表于 2015-3-4 21:47
我知道不行,反正死活就是退出、我是没办法了、push窗体没有功能的
{:6_224:} 坐等大神给思路.
昨天搞到今天 也没解决这个暗桩。。。
这篇帖子是格盘大大的:https://www.52hb.com/thread-238279-1-1.html
参考下吧。地址指向52,如有违规请版主删除
很简单 你需要把你知道一切可以退出进程的函数全部下断点
sendmessage
postmessage
terminateprocess
等等
然后查看调用堆栈 然后上下文找找
页:
[1]
2