请教去QQ.exe的自效验
QQ2006 开始加了自效验,想修改一下资源也不行,于是就想把自效验去掉,但找到了位置却不知道怎么修改版本QQ2006 Beta2
OD载QQ.exe,下BP CreateFileA,F9运行,来到
7C801A24 > 8BFF MOV EDI,EDI
7C801A26 55 PUSH EBP
7C801A27 8BEC MOV EBP,ESP
7C801A29 FF75 08 PUSH DWORD PTR SS:
7C801A2C E8 43C60000 CALL kernel32.7C80E074
7C801A31 85C0 TEST EAX,EAX
堆栈显示
0012ECD0 00403948 /CALL 到 CreateFileA 来自 QQ.00403946
0012ECD4 00C68CA8 |FileName = "C:\QQ\QQ.exe"
0012ECD8 80000000 |Access = GENERIC_READ
0012ECDC 00000001 |ShareMode = FILE_SHARE_READ
0012ECE0 00000000 |pSecurity = NULL
0012ECE4 00000003 |Mode = OPEN_EXISTING
0012ECE8 00000020 |Attributes = ARCHIVE
0012ECEC 00000000 \hTemplateFile = NULL
已经近了
一直向下步进,来到这里,发现这里就是关键
0040399A FFD7 /CALL EDI
0040399C 85C0 |TEST EAX,EAX
0040399E 74 2E JE SHORT QQ.004039CE
004039A0 FF75 F8 |PUSH DWORD PTR SS: ; /Arg3
004039A3 8D85 98EFFFFF |LEA EAX,DWORD PTR SS: ; |
004039A9 50 |PUSH EAX ; |Arg2
004039AA 8D45 98 |LEA EAX,DWORD PTR SS: ; |
004039AD 50 |PUSH EAX ; |Arg1
004039AE E8 60820300 |CALL QQ.0043BC13 ; \QQ.0043BC13
004039B3 83C4 0C |ADD ESP,0C
004039B6 3975 F8 |CMP DWORD PTR SS:,ESI
004039B9 75 13 JNZ SHORT QQ.004039CE
004039BB 8D45 F8 |LEA EAX,DWORD PTR SS:
004039BE 6A 00 |PUSH 0
004039C0 50 |PUSH EAX
004039C1 8D85 98EFFFFF |LEA EAX,DWORD PTR SS:
004039C7 56 |PUSH ESI
004039C8 50 |PUSH EAX
004039C9 FF75 FC |PUSH DWORD PTR SS:
004039CC ^ EB CC JMP SHORT QQ.0040399A
004039CE |> 8D45 98 LEA EAX,DWORD PTR SS: //如果程序能够运行到这里,就表示能通过自效验
试了把JE SHORT QQ.004039CE改为JMP SHORT QQ.004039CE,不行
小弟不才,刚接触破解,看过去论坛去自效验方面的例子,依然学无所成,望各位大大指教 ;)自校验偶一般都是先跟脱壳好的程序,做好注释,然后把原版程序的名字改成脱好的程序,进行比较/:D自校验就知道要改哪里了,不过比起高手们的那些招数要复杂的多,偶是菜鸟,只好多花点时间了哦;P
[ 本帖最后由 棒棒糖 于 2006-8-18 16:32 编辑 ] 原帖由 棒棒糖 于 2006-8-18 16:31 发表
;)自校验偶一般都是先跟脱壳好的程序,做好注释,然后把原版程序的名字改成脱好的程序,进行比较/:D自校验就知道要改哪里了,不过比起高手们的那些招数要复杂的多,偶是菜鸟,只好多花点时间了哦;P
这样是花的时间多点,我也差不多
问题是现在已经找问题位置,不知道怎么修改 找了一个下午,终于发现了修改处,改了之后能运行,但登陆不了......:lol :lol
[ 本帖最后由 Rason 于 2006-8-18 19:55 编辑 ] 看来楼主没明白什么是自校验。从来没听过QQ有自校验的。
上面的也不是自校验代码 /:?QQ主程序根本就没加壳。。。。。何来校验之说??/需要我传给你一个 只有加壳的程序才有自校验吗??? 新技术,学习一下!! 我用的都是别人修改过的QQ,资源自己可以随便改的。。。没有注意到这方面的问题哈。。
页:
[1]