关键位置:RVA = B473。自己看图,只能帮到这里了
如需播放密码,留个机器码,帮你算个号
chishingchan 发表于 2024-5-12 08:22
大大是不是有点厚此薄彼?
飘云阁求助,十年前的软件,找不到注册码,用od没成功 - Powered by Discuz! ...
其实是因为太难了哈哈哈,要是.net我说不定还能试试
可以联系我帮你处理哈。二个方案可选择:1、解密、2、替换。
10飘云币,噗,确定不是在开玩笑。
本帖最后由 ie12580 于 2024-5-21 00:43 编辑
zhongtiany 发表于 2024-5-12 17:34
关键位置:RVA = B473。自己看图,只能帮到这里了不懂就问,表哥,你找的这种MOV的关键位置,应该怎样修改,暂时还只知道修改JMP&NOP,这种MOV还请表哥指点一下!
0040B3EA | 8BC0 | mov eax,eax |
0040B3EC | 83EC 04 | sub esp,4 |
0040B3EF | 53 | push ebx |
0040B3F0 | 56 | push esi | esi:EntryPoint
0040B3F1 | 57 | push edi | edi:EntryPoint
0040B3F2 | 52 | push edx | edx:EntryPoint
0040B3F3 | 50 | push eax |
0040B3F4 | 6A 00 | push 0 |
0040B3F6 | 89D3 | mov ebx,edx | edx:EntryPoint
0040B3F8 | 31FF | xor edi,edi | edi:EntryPoint
0040B3FA | 8B4C94 1C | mov ecx,dword ptr ss: | ecx:EntryPoint
0040B3FE | 85C9 | test ecx,ecx | ecx:EntryPoint
0040B400 | 74 0C | je 播放器.40B40E |
0040B402 | 3908 | cmp dword ptr ds:,ecx | ecx:EntryPoint
0040B404 | 75 08 | jne 播放器.40B40E |
0040B406 | 89CF | mov edi,ecx | edi:EntryPoint, ecx:EntryPoint
0040B408 | 8B41 FC | mov eax,dword ptr ds: | ecx-04:"opW"
0040B40B | 4A | dec edx | edx:EntryPoint
0040B40C | EB 02 | jmp 播放器.40B410 |
0040B40E | 31C0 | xor eax,eax |
0040B410 | 8B4C94 1C | mov ecx,dword ptr ss: | ecx:EntryPoint
0040B414 | 85C9 | test ecx,ecx | ecx:EntryPoint
0040B416 | 74 10 | je 播放器.40B428 |
0040B418 | 0341 FC | add eax,dword ptr ds: | ecx-04:"opW"
0040B41B | A9 000000C0 | test eax,C0000000 |
0040B420 | 75 73 | jne 播放器.40B495 |
0040B422 | 39CF | cmp edi,ecx | edi:EntryPoint, ecx:EntryPoint
0040B424 | 75 02 | jne 播放器.40B428 |
0040B426 | 31FF | xor edi,edi | edi:EntryPoint
0040B428 | 4A | dec edx | edx:EntryPoint
0040B429 | 75 E5 | jne 播放器.40B410 |
0040B42B | 85FF | test edi,edi | edi:EntryPoint
0040B42D | 74 1E | je 播放器.40B44D |
0040B42F | 89C2 | mov edx,eax | edx:EntryPoint
0040B431 | 8B4424 04 | mov eax,dword ptr ss: |
0040B435 | 8B77 FC | mov esi,dword ptr ds: | esi:EntryPoint, edi-04:"opW"
0040B438 | E8 4FFEFFFF | call 播放器.40B28C |
0040B43D | 8B7C24 04 | mov edi,dword ptr ss: | edi:EntryPoint
0040B441 | 8B07 | mov eax,dword ptr ds: | edi:EntryPoint
0040B443 | 890424 | mov dword ptr ss:,eax | :BaseThreadInitThunk+19
0040B446 | D1E6 | shl esi,1 | esi:EntryPoint
0040B448 | 0337 | add esi,dword ptr ds: | esi:EntryPoint, edi:EntryPoint
0040B44A | 4B | dec ebx |
0040B44B | EB 0A | jmp 播放器.40B457 |
0040B44D | E8 06EEFFFF | call 播放器.40A258 |
0040B452 | 890424 | mov dword ptr ss:,eax | :BaseThreadInitThunk+19
0040B455 | 89C6 | mov esi,eax | esi:EntryPoint
0040B457 | 8B449C 1C | mov eax,dword ptr ss: |
0040B45B | 89F2 | mov edx,esi | edx:EntryPoint, esi:EntryPoint
0040B45D | 85C0 | test eax,eax |
0040B45F | 74 0C | je 播放器.40B46D |
0040B461 | 8B48 FC | mov ecx,dword ptr ds: | ecx:EntryPoint
0040B464 | D1E1 | shl ecx,1 | ecx:EntryPoint
0040B466 | 01CE | add esi,ecx | esi:EntryPoint, ecx:EntryPoint
0040B468 | E8 53B5FFFF | call 播放器.4069C0 |
0040B46D | 4B | dec ebx |
0040B46E | 75 E7 | jne 播放器.40B457 |
0040B470 | 8B1424 | mov edx,dword ptr ss: | edx:EntryPoint, :BaseThreadInitThunk+19
0040B473 | 8B4424 04 | mov eax,dword ptr ss: |
0040B477 | 85FF | test edi,edi | edi:EntryPoint
0040B479 | 75 0C | jne 播放器.40B487 |
0040B47B | 85D2 | test edx,edx | edx:EntryPoint
0040B47D | 74 03 | je 播放器.40B482 |
0040B47F | FF4A F8 | dec dword ptr ds: | edx-08:"etPropW"
0040B482 | E8 5DF2FFFF | call 播放器.40A6E4 |
0040B487 | 83C4 08 | add esp,8 |
0040B48A | 5A | pop edx | edx:EntryPoint
0040B48B | 5F | pop edi | edi:EntryPoint
0040B48C | 5E | pop esi | esi:EntryPoint
0040B48D | 5B | pop ebx |
0040B48E | 58 | pop eax |
0040B48F | 58 | pop eax |
0040B490 | 8D2494 | lea esp,dword ptr ss: |
0040B493 | FFE0 | jmp eax |
0040B495 | E9 C6D0FFFF | jmp 播放器.408560 |
0040B49A | C3 | ret |
本帖最后由 ie12580 于 2024-5-21 00:47 编辑
ie12580 发表于 2024-5-21 00:28
不懂就问,表哥,你找的这种MOV的关键位置,应该怎样修改,暂时还只知道修改JMP&NOP,这种MOV还请表哥指点59 | 0040B473 | 8B4424 04 | mov eax,dword ptr ss: |
ie12580 发表于 2024-5-21 00:45
59 | 0040B473 | 8B4424 04 | mov eax,dword ptr ss: |
改寄存器指向的内存,替换机器码
这玩意估计不好搞吧!
zhongtiany 发表于 2024-5-21 13:47
改寄存器指向的内存,替换机器码
0040B473 下断后 寄存器中选择的 数据和堆栈中跟随..
然后一直F7去跟,不知道是不认识,还是怎么,没发现象机器码的数据。
后台就试了直接在 0040B473 下断后,在下断位置的数据和堆栈中跟随,查看了03A526AC的内存数据,中间好多处00,感觉也不是,然后就看偏移+4位置的0019FE68,看到一串,感觉有点像,但也不确定,于是就改了前三位试了下,结果改完直接运行不起了,直接报错~
如果表哥,有空,出一期视频指导,感激不尽,之前一直没有机会学这个替换机器码,刚好有缘和表哥相识在这个帖子,诚心求指教。