有没有办法去掉这个程序的调试检验?
软件在:http://tele.skycn.com/soft/40800.html今天随便找了个软件来练习,突然发现用OD载入以后无法运行!只要一运行程序马上程序就出现错误然后退出!
请教各位高手如何躲过这种软件的调试检测?我用过OD的隐藏功能没有用处! 加壳了吧? 多换个OD试试。 我试了下,第一次没发现什么问题OD就直接退出,但再跑一次就可以跑了哈(我是先挂接然后下了断点),后来发现删除所有断点也能跑起来,只是偶尔会退出,重新来次就好了哈
[ 本帖最后由 月之精灵 于 2010-5-19 18:12 编辑 ] 原帖由 月之精灵 于 2010-5-19 18:02 发表 https://www.chinapyg.com/images/common/back.gif
我试了下,第一次没发现什么问题OD就直接退出,但再跑一次就可以跑了哈(我是先挂接然后下了断点),后来发现删除所有断点也能跑起来,只是偶尔会退出,重新来次就好了哈
50503
你用的OD是自己修改的吗? 看雪的ICE 原帖由 月之精灵 于 2010-5-19 21:19 发表 https://www.chinapyg.com/images/common/back.gif
看雪的ICE
版主你在上面说的“挂接”是什么意思啊?难道是附加进程?
我在附加进程中可以调试,直接调试就不行!
就是附加进程哈 原帖由 月之精灵 于 2010-5-20 11:41 发表 https://www.chinapyg.com/images/common/back.gif
就是附加进程哈
附加进程后,仍然不能通过搜索字符串来查找关键CALL,这里只有用C32工具
通过工具我找到如下关键部位:
注册出错信息
通过查找,找到关键CALL和关键跳
通过直接更改JE处,到这一步
但是我没有办法进行重启验证,因为一重启软件就要重新运行,如果用OD直接载入,然后F9的话就会出错!中断调试
我就是卡在这里了!
我也尝试直接修改这里,但是修改以后发现不能顺利运行!我猜想在这个关键CALL中还进行着某些值的传递!
请各位指点! 软件有校验的,建议做个DLL型补丁,位置找得不错哈 原帖由 zeknight 于 2010-5-20 12:57 发表 https://www.chinapyg.com/images/common/back.gif
附加进程后,仍然不能通过搜索字符串来查找关键CALL,这里只有用C32工具
通过工具我找到如下关键部位:
注册出错信息
50536
通过查找,找到关键CALL和关键跳
50537
通过直接更改JE处, ...
文件有校验,用winhex打开文件,可以看到后面有个值~~ 修改之后这个值就和原版不同了
//留意这些~ 通过断算法CALL然后返回就可以找到
008978A6 .66:C705 E4529600 000>mov word ptr , 0 //标志位赋值
008977B3 . |66:C705 E4529600 000>mov word ptr , 0 //标志位赋值
你应该想到怎么做了~
bp rtcFileLength 然后返回,走啊走、、、、
007A7780mov edi, 8
007A7785cmp eax, edi //断到这里之后,EDX里面就会显示那个特征码抄下来,就可以了
用winhex打开 把这个码改写回去就happy了~~~ good luckly~
不用winhex改的话~~ 自行跟踪代码流程,,也很简单,留给你自己复习~
页:
[1]
2