qq棋牌游戏伴侣3.02脱壳能运行（去广告我没有那个能力）

qaz62 · 发表于 2008-8-6 16:47:19

提示: 作者被禁止或删除内容自动屏蔽

秋风四起 · 发表于 2008-9-14 10:36:41

。。。。我也是为这个而来。。。

秋风四起 · 发表于 2008-9-14 12:32:28

2.去自校验
程序脱完壳变成8000K+
比较文件大小的自校验
下GetFileSize断点
－－－－断在这里
7C810B07 >  8BFF          MOV EDI,EDI                            ; ntdll.7C910208
7C810B09 55             PUSH EBP
7C810B0A 8BEC          MOV EBP,ESP
7C810B0C 51             PUSH ECX
7C810B0D 51             PUSH ECX
7C810B0E 8D45 F8       LEA EAX,DWORD PTR SS:[EBP-8]
7C810B11 50             PUSH EAX
－－－－返回到程序领空,一路F８下来
00491FBC .  E8 DF2EF7FF CALL dumped_.00404EA0
00491FC1 .  75 12       JNZ SHORT dumped_.00491FD5;关键跳
;-------将jnz　nop掉－－去掉了自校验
00491FC3 .  B8 E0930400 MOV EAX,493E0
00491FC8 .  E8 3F13F7FF CALL dumped_.0040330C
00491FCD .  C1E0 02    SHL EAX,2
00491FD0 .  8945 F0    MOV DWORD PTR SS:[EBP-10],EAX
00491FD3 .  EB 11       JMP SHORT dumped_.00491FE6
00491FD5 >  B8 E0930400 MOV EAX,493E0

请问这里怎么操作？？？我的空,一路F８下来，就返回到这了
004032B1  |.  8BF0       MOV ESI,EAX                            ;  QQ棋牌游.00806200
004032B3  |.  83FE FF    CMP ESI,-1
004032B6    75 07       JNZ SHORT QQ棋牌游.004032BF
004032B8  |.  E8 BFF6FFFF CALL QQ棋牌游.0040297C
004032BD    EB 15       JMP SHORT QQ棋牌游.004032D4
004032BF  |>  8BC6       MOV EAX,ESI
004032C1  |.  33D2       XOR EDX,EDX
004032C3  |.  F773 08    DIV DWORD PTR DS:[EBX+8]
004032C6  |.  8BF0       MOV ESI,EAX
004032C8  |.  EB 0A       JMP SHORT QQ棋牌游.004032D4
004032CA  |>  B8 67000000 MOV EAX,67
004032CF    E8 98F6FFFF CALL QQ棋牌游.0040296C
004032D4  |>  8BC6       MOV EAX,ESI
004032D6  |.  5E          POP ESI
004032D7  |.  5B          POP EBX
004032D8  \.  C3          RETN
004032D9    8D40 00    LEA EAX,DWORD PTR DS:[EAX]

怎么不到你们的0049地方？？？

2005ljb · 发表于 2008-9-14 13:53:57

学习楼主的方法.谢谢分享!

天蓝小色色 · 发表于 2008-9-14 14:07:56

我来学习一下:loveliness:

雪风 · 发表于 2008-9-14 14:29:11

哈哈疯子来学习啦了！！！顶楼主下！~:loveliness:

2005ljb · 发表于 2008-9-14 15:32:32

已经去掉自校验了,33楼的朋友,这个软件在每台电脑上的内存地址都不同的,我电脑上那个关键跳的地址是004A0E15,我也是对照前面2个大哥的帖子才发现的.可是我现在也没弄懂,为什么那个地方是关键跳,希望知道的朋友指点一下.因为经过那个跳以后,软件并没有马上关闭,不知道这么因该怎么来判断,我只是找到了相同的代码才知道是关键跳的,基础差,见笑了.

[ 本帖最后由 2005ljb 于 2008-9-14 19:04 编辑 ]

秋风四起 · 发表于 2008-9-15 12:41:43

原帖由 2005ljb 于 2008-9-14 15:32 发表
已经去掉自校验了,33楼的朋友,这个软件在每台电脑上的内存地址都不同的,我电脑上那个关键跳的地址是004A0E15,我也是对照前面2个大哥的帖子才发现的.可是我现在也没弄懂,为什么那个地方是关键跳,希望知道的朋友指点一 ...

我是想问一下，地址不同的话，如何断定它就是关键跳呢、？？？

我用3.4.4版，却怎么也找不着那个关键跳~！！！！

2005ljb · 发表于 2008-9-15 13:48:17

我也没弄明白那个地方为什么是关键跳.....过了那个跳很久软件才关闭的,不知道怎么来判断....

秋风四起 · 发表于 2008-9-15 17:15:55

。。。我是在直接查找那个75 12 。。。。。才找得到地方，直接改。。晕没？？？

		自动登录	找回密码
密码			加入我们

qaz62 qaz62 当前离线 UID 42428 注册时间 2007-12-21 阅读权限 0 最后登录 1970-1-1 禁止访问 IP卡该用户从未签到	发表于 2008-8-6 16:47:19 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
	PYG19周年生日快乐！
	回复支持反对使用道具举报显身卡

[原创] qq棋牌游戏伴侣3.02脱壳能运行（去广告我没有那个能力）