- UID
- 14400
注册时间2006-5-29
阅读权限10
最后登录1970-1-1
周游历练
该用户从未签到
|
QQ2006 开始加了自效验,想修改一下资源也不行,于是就想把自效验去掉,但找到了位置却不知道怎么修改
版本QQ2006 Beta2
OD载QQ.exe,下BP CreateFileA,F9运行,来到
7C801A24 > 8BFF MOV EDI,EDI
7C801A26 55 PUSH EBP
7C801A27 8BEC MOV EBP,ESP
7C801A29 FF75 08 PUSH DWORD PTR SS:[EBP+8]
7C801A2C E8 43C60000 CALL kernel32.7C80E074
7C801A31 85C0 TEST EAX,EAX
堆栈显示
0012ECD0 00403948 /CALL 到 CreateFileA 来自 QQ.00403946
0012ECD4 00C68CA8 |FileName = "C:\QQ\QQ.exe"
0012ECD8 80000000 |Access = GENERIC_READ
0012ECDC 00000001 |ShareMode = FILE_SHARE_READ
0012ECE0 00000000 |pSecurity = NULL
0012ECE4 00000003 |Mode = OPEN_EXISTING
0012ECE8 00000020 |Attributes = ARCHIVE
0012ECEC 00000000 \hTemplateFile = NULL
已经近了
一直向下步进,来到这里,发现这里就是关键
0040399A FFD7 /CALL EDI
0040399C 85C0 |TEST EAX,EAX
0040399E 74 2E JE SHORT QQ.004039CE
004039A0 FF75 F8 |PUSH DWORD PTR SS:[EBP-8] ; /Arg3
004039A3 8D85 98EFFFFF |LEA EAX,DWORD PTR SS:[EBP-1068] ; |
004039A9 50 |PUSH EAX ; |Arg2
004039AA 8D45 98 |LEA EAX,DWORD PTR SS:[EBP-68] ; |
004039AD 50 |PUSH EAX ; |Arg1
004039AE E8 60820300 |CALL QQ.0043BC13 ; \QQ.0043BC13
004039B3 83C4 0C |ADD ESP,0C
004039B6 3975 F8 |CMP DWORD PTR SS:[EBP-8],ESI
004039B9 75 13 JNZ SHORT QQ.004039CE
004039BB 8D45 F8 |LEA EAX,DWORD PTR SS:[EBP-8]
004039BE 6A 00 |PUSH 0
004039C0 50 |PUSH EAX
004039C1 8D85 98EFFFFF |LEA EAX,DWORD PTR SS:[EBP-1068]
004039C7 56 |PUSH ESI
004039C8 50 |PUSH EAX
004039C9 FF75 FC |PUSH DWORD PTR SS:[EBP-4]
004039CC ^ EB CC JMP SHORT QQ.0040399A
004039CE |> 8D45 98 LEA EAX,DWORD PTR SS:[EBP-68] //如果程序能够运行到这里,就表示能通过自效验
试了把JE SHORT QQ.004039CE改为JMP SHORT QQ.004039CE,不行
小弟不才,刚接触破解,看过去论坛去自效验方面的例子,依然学无所成,望各位大大指教 |
|
IP卡
发表于 2006-8-18 12:31:24
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2006-8-18 16:31:39
楼主
发表于 2006-8-25 02:08:26
