。。。。我也是为这个而来。。。
2.去自校验
程序脱完壳变成8000K+
比较文件大小的自校验
下GetFileSize断点
----断在这里
7C810B07 >8BFF MOV EDI,EDI ; ntdll.7C910208
7C810B09 55 PUSH EBP
7C810B0A 8BEC MOV EBP,ESP
7C810B0C 51 PUSH ECX
7C810B0D 51 PUSH ECX
7C810B0E 8D45 F8 LEA EAX,DWORD PTR SS:
7C810B11 50 PUSH EAX
----返回到程序领空,一路F8下来
00491FBC .E8 DF2EF7FF CALL dumped_.00404EA0
00491FC1 .75 12 JNZ SHORT dumped_.00491FD5;关键跳
;-------将jnz nop掉--去掉了自校验
00491FC3 .B8 E0930400 MOV EAX,493E0
00491FC8 .E8 3F13F7FF CALL dumped_.0040330C
00491FCD .C1E0 02 SHL EAX,2
00491FD0 .8945 F0 MOV DWORD PTR SS:,EAX
00491FD3 .EB 11 JMP SHORT dumped_.00491FE6
00491FD5 >B8 E0930400 MOV EAX,493E0
请问这里怎么操作???我的空,一路F8下来,就返回到这了
004032B1|.8BF0 MOV ESI,EAX ;QQ棋牌游.00806200
004032B3|.83FE FF CMP ESI,-1
004032B6 75 07 JNZ SHORT QQ棋牌游.004032BF
004032B8|.E8 BFF6FFFF CALL QQ棋牌游.0040297C
004032BD EB 15 JMP SHORT QQ棋牌游.004032D4
004032BF|>8BC6 MOV EAX,ESI
004032C1|.33D2 XOR EDX,EDX
004032C3|.F773 08 DIV DWORD PTR DS:
004032C6|.8BF0 MOV ESI,EAX
004032C8|.EB 0A JMP SHORT QQ棋牌游.004032D4
004032CA|>B8 67000000 MOV EAX,67
004032CF E8 98F6FFFF CALL QQ棋牌游.0040296C
004032D4|>8BC6 MOV EAX,ESI
004032D6|.5E POP ESI
004032D7|.5B POP EBX
004032D8\.C3 RETN
004032D9 8D40 00 LEA EAX,DWORD PTR DS:
怎么不到你们的0049地方???
学习楼主的方法.谢谢分享!
我来学习一下:loveliness:
哈哈 疯子来学习啦了!!! 顶楼主下!~:loveliness:
已经去掉自校验了,33楼的朋友,这个软件在每台电脑上的内存地址都不同的,我电脑上那个关键跳的地址是004A0E15,我也是对照前面2个大哥的帖子才发现的.可是我现在也没弄懂,为什么那个地方是关键跳,希望知道的朋友指点一下.因为经过那个跳以后,软件并没有马上关闭,不知道这么因该怎么来判断,我只是找到了相同的代码才知道是关键跳的,基础差,见笑了.
[ 本帖最后由 2005ljb 于 2008-9-14 19:04 编辑 ]
原帖由 2005ljb 于 2008-9-14 15:32 发表 https://www.chinapyg.com/images/common/back.gif
已经去掉自校验了,33楼的朋友,这个软件在每台电脑上的内存地址都不同的,我电脑上那个关键跳的地址是004A0E15,我也是对照前面2个大哥的帖子才发现的.可是我现在也没弄懂,为什么那个地方是关键跳,希望知道的朋友指点一 ...
我是想问一下,地址不同的话,如何断定它就是关键跳呢、???
我用3.4.4版,却怎么也找不着那个关键跳~!!!!
我也没弄明白那个地方为什么是关键跳.....过了那个跳很久软件才关闭的,不知道怎么来判断....
。。。我是在直接查找那个75 12 。。。。。才找得到地方,直接改。。晕没???