这个软件NAG和自效验怎么除去呢
脱壳后出现下面这个图NAG: BP MessageBoxA,搞了后,没有了提示,我是NOP掉的~(不好意思我不知道JMP怎么跳)
可是无法运行,连一闪都 没有。这个是自效验吧?
BP CreateFileA
晕哦~弄出来的是.dll的~
程序传上来了,大伙帮看看~要怎么操作~,谢谢~
[ 本帖最后由 heizihui 于 2007-12-6 11:18 编辑 ]
程序文件
有大小限制哦! 程序带了自校验?提示翻译为“该程序已被病毒篡改!!!”
[ 本帖最后由 foxjinlin 于 2007-12-10 23:58 编辑 ] bp CreateFileA
然后F9运行第一次,看到堆栈里面文件是系统下的rsaenh.dll(是微软Microsoft增强加密服务相关文件,用于128位加密),故而再F9运行一次,看到如下:
0012B1A0 00520C10/CALL 到 CreateFileA 来自 dump.00520C0A
0012B1A4 003F73A0|FileName = "D:\Documents and Settings\hdy\",D7,"烂鎈Aws\dump.exe"
0012B1A8 80000000|Access = GENERIC_READ
0012B1AC 00000003|ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE
0012B1B0 0012B1CC|pSecurity = 0012B1CC
0012B1B4 00000003|Mode = OPEN_EXISTING
0012B1B8 00000080|Attributes = NORMAL
好了,ctrl+G输入“520C0A”enter
00520BF8 |> \6A 00 push 0 ; /hTemplateFile = NULL
00520BFA |.51 push ecx ; |Attributes
00520BFB |.50 push eax ; |Mode
00520BFC |.8D85 ECFEFFFF lea eax, dword ptr ; |
00520C02 |.50 push eax ; |pSecurity
00520C03 |.52 push edx ; |ShareMode
00520C04 |.FF75 0C push dword ptr ; |Access
00520C07 |.FF75 08 push dword ptr ; |FileName
00520C0A |.FF15 08545300 call near dword ptr [<&kernel32.Creat>; \CreateFileA
00520C10 |.83F8 FF cmp eax, -1 (到这里)
然后向上找到这一行:
00520B00 /0F8D 33010000 jge 00520C39
(将jge改为jmp)
不知道对不对,请各位斧正!附图如下:
[ 本帖最后由 hdy981 于 2007-12-12 00:01 编辑 ] 建议看看PYG论坛3周年庆典 第 三 课:去除NAG窗口第 四 课:手脱压缩壳--脱UPX壳 5楼的坛友~
教程我看了~
我在帖子里也说了。我用NOP掉去了那 提示框~
后面运行不了~这个应该跟自效验有关吧?
4楼的,谢谢你了哦!
我再看看…… 4楼 朋友
ctrl+G输入“520C0A”
这里我原先也到过
只是不知道,那个是要改的~~
太多JE,JMP之类的了
你修改的那地方,不对~因为软件没正常运行~
[ 本帖最后由 heizihui 于 2007-12-12 10:03 编辑 ] NTBOX的东西,没有那么简单,数据关联性,即使你修改跳转,也用不了的
页:
[1]