网站 › 『 新手求助 』 › 求助一个入门问题

秋风四起 发表于 2008-9-9 13:23:51

求助一个入门问题

W32dsm 分析程序后，如何把那些代码复制出来？？？我想复制出来，请教一下高手，应该哪一个才是跳走CALL，谢谢。。。。。。。

（谢谢10楼的答案。。。。。。。。）

[ 本帖最后由 秋风四起 于 2008-9-13 10:27 编辑 ]

月之精灵 发表于 2008-9-9 13:38:53

反汇编--保存反汇编.
跳走CALL?不知你想问什么?

傻人有傻福 发表于 2008-9-9 13:43:58

复制我没有复制过 不清楚
跳走CALL 楼主是想问关键CALL和关键跳吧 这个东西我也不知道该怎么说 楼主有没有看一些比较基础的教程 上面的破解入门一般也是用W32dsm来做入门教学的，楼主应该先看一下，这种东西多看多练就会比较有感觉了

lgjxj 发表于 2008-9-9 13:47:33

W32dsm 不但过时了，用处也不大，不如学习 OD 和 IDA 才是王道

rxzcums 发表于 2008-9-9 14:16:41

W32dsm 我只用来找字符串地址，然后放OD里用。

秋风四起 发表于 2008-9-9 15:08:26

谢谢各位的回复，只是我找到一处地方

77D19982    41            INC ECX
77D19983    3BD7            CMP EDX,EDI
77D19985    0F85 F1350100   JNZ user32.77D2CF7C
77D1998B    397D 14         CMP DWORD PTR SS:,EDI
77D1998E    0F85 63030300   JNZ user32.77D49CF7
77D19994    8B7D 0C         MOV EDI,DWORD PTR SS:
77D19997    8BC1            MOV EAX,ECX
77D19999    C1E9 02         SHR ECX,2
77D1999C >F3:A5         REP MOVS DWORD PTR ES:,DWORD PTR DS>
77D1999E    8BC8            MOV ECX,EAX
77D199A0    83E1 03         AND ECX,3
77D199A3    F3:A4         REP MOVS BYTE PTR ES:,BYTE PTR DS:[>
77D199A5    8B5D 0C         MOV EBX,DWORD PTR SS:
77D199A8^ EB 96         JMP SHORT user32.77D19940
77D199AA    90            NOP
77D199AB    90            NOP
77D199AC    90            NOP
77D199AD    90            NOP
77D199AE    90            NOP
77D199AF    6A 14         PUSH 14
77D199B1    68 189AD177   PUSH user32.77D19A18
77D199B6    E8 05ECFFFF   CALL user32.77D185C0
77D199BB    6A 03         PUSH 3
77D199BD    5B            POP EBX
77D199BE    C745 E4 0A00000>MOV DWORD PTR SS:,0A
77D199C5    8B45 08         MOV EAX,DWORD PTR SS:
77D199C8    A8 01         TEST AL,1
77D199CA    0F85 9D900200   JNZ user32.77D42A6D
77D199D0    85C0            TEST EAX,EAX
77D199D2    74 32         JE SHORT user32.77D19A06
77D199D4    66:85C0         TEST AX,AX
77D199D7    75 2D         JNZ SHORT user32.77D19A06
77D199D9    8365 FC 00      AND DWORD PTR SS:,0
77D199DD    50            PUSH EAX
77D199DE    FF15 4814D177   CALL DWORD PTR DS:[<&ntdll.RtlImageNtHea>; ntdll.RtlImageNtHeader
77D199E4    8945 DC         MOV DWORD PTR SS:,EAX
77D199E7    85C0            TEST EAX,EAX
77D199E9    74 17         JE SHORT user32.77D19A02
77D199EB    0FB758 48       MOVZX EBX,WORD PTR DS:
77D199EF    895D E0         MOV DWORD PTR SS:,EBX
77D199F2    83FB 01         CMP EBX,1
77D199F5    0F84 7A900200   JE user32.77D42A75
77D199FB    0FB740 4A       MOVZX EAX,WORD PTR DS:
77D199FF    8945 E4         MOV DWORD PTR SS:,EAX
77D19A02    834D FC FF      OR DWORD PTR SS:,FFFFFFFF
77D19A06    33C0            XOR EAX,EAX
77D19A08    8AE3            MOV AH,BL
77D19A0A    8A45 E4         MOV AL,BYTE PTR SS:
77D19A0D    E8 EEEBFFFF   CALL user32.77D18600
77D19A12    C2 0400         RETN 4
77D19A15    90            NOP
77D19A16    90            NOP
77D19A17    90            NOP
77D19A18    FFFF            ???                                    ; 未知命令

当执行到这里时，就弹出那个注册的窗口。。。。
应该怎么样跳过注册的，从而直接运行？？？
用万能中断那个好像，按得我手都累。

哪一个指令是在程序运行时弹出窗口时，OD就会拦截的？？？谢谢。

Nisy 发表于 2008-9-9 15:30:08

JMP SHORT user32.77D19940

修改了这里？ 不过这里应该是系统凌空吧 没弄明白楼主提问什么 想解决什么 实现注册成功呢 还是弹出Nag呢

秋风四起 发表于 2008-9-9 20:02:22

就是一个一运行就提示要注册。要输入注册码，输入注册不成功的话，就不能进去。。。

当输入成功时，就提示重启。然后再运行就正常可以用的一个小工具了。。。。

yingfeng 发表于 2008-9-9 20:47:07

返回程序领空再找关键吧，看从哪里来到此系统领空的

Luckly 发表于 2008-9-9 23:02:23

复制的话 你用鼠标点一下左边的边界上点一下会在当前行左边出现一个小红色的点，然后ctrl+c 即可以复制

查看完整版本: 求助一个入门问题