大牛们来看看这是什么情况吧，求解决办法

大牛们好，最近小弟在搞一个叫做丁丁的验证（哎哟名字好邪恶）的山寨，也看了论坛里面大牛的教程于是就跟一款FZ干上了。

因为这款FZ呢，他前几个版本都是用VMP壳的，不过没事，我有xuepojie工具包，里面的脱壳脚本让他的FZ脱的光光的
找到了静态数据，地址，和版本号，山寨成功了。
最近作者不知道受到了什么刺激，上了一个不知道什么壳。
我就把FZ丢进去OD，我也不会脱
我就换附加的方法，发现一打开就蓝屏。机智的我把FZ挂起后再附加
发现作者把字符串也弄不见了我心那个痛啊。

我心想，你更新版本，你的服务器后台地址还是那个吧，为了验证我抓包
没错抓到的地址还是那个吧，我就从旧版本FZ那里获取了服务器地址的特征码（这个叫特征码吗？还是叫其他，我不知道）

68 74 74 70 3A 2F 2F 31 34 38 31 37 31 2E 76 68
6F 73 74 32 30 33 2E 63 6C 6F 75 64 76 68 6F 73
74 2E 63 6E 2F 7A 7A 2F，这个就是从OD的数据窗口对应的特征码.....（他的服务器地址是:http://148171.vhost203.cloudvhost.cn/zz/）
皇天不负有心人，我算是找到了他的服务器地址
，和静态数据and版本号，他的软件编码是1002抓包的时候看到了。
把他的地址改成我服务器的地址，其他的我在后台改，多出来的用00填充

于是楼主大喊一句，终究是被我山寨了。
保存文件.
{:5_191:}妈个鸡，这什么鬼
{:5_191:}楼主当时就想那豆腐撞死自己.大大们来看看这怎么解决吧。软件地址是http://pan.baidu.com/s/1c0LuAYG#path=%252F%25E5%2586%2588%25E6%259C%25ACDNF%25E7%25A7%2581%25E6%259C%258D%25E8%25BE%2585%25E5%258A%25A9

呵呵 IAT HOOK吧。要么就关键地方注入DLL启动的时候修改好就好了，然而SE壳也这样，附加蓝屏 估计有检测OD  然而也不没何卵用

SE壳。用PYG的补丁吧。

山寨很简单，数据都已经找到了

LCC 发表于 2016-2-7 17:35
山寨很简单，数据都已经找到了

是啊，该找的都找到了
但是我改完后保存出来，发现文件已损坏

846793234 发表于 2016-2-7 17:46
是啊，该找的都找到了
但是我改完后保存出来，发现文件已损坏

hook下完事，很简单

LCC 发表于 2016-2-7 17:56
hook下完事，很简单

大大，该怎么HOOK，有没教程教一下，我不懂Hook是什么

Zixue 发表于 2016-2-7 17:13
SE壳。用PYG的补丁吧。

怎么个用法，我不懂这些，才玩逆向没多久

mq5123 发表于 2016-2-8 00:55
冈本的DNF私服FZ 下蓝屏 断点  显示调用 retn 断首
特征码 55 8B EC 81 EC 64 00 00 00 C7 45 FC 00 00  ...

大大，我还是不太懂，我山寨要找的那些都找到了。服务器地址我也改了
他提示文件已损坏无法运行。，大大你的那些暗装怎么找的，我不太懂
退出安装和蓝屏暗装怎么找，后台木马怎么找。。