好友
阅读权限35
听众
最后登录1970-1-1
|
本帖最后由 1354669803 于 2013-6-30 01:34 编辑
链接:http://pan.baidu.com/share/link?shareid=2652272149&uk=1395155119 密码:uf19
首先课件是S1第六课的课件 我们先来看软件 拉进OD 显示的是无壳
我们F9运行 等待2秒以后发现是
点了信息框的确定就退出 其实干掉他的方法还是有很多的 现在给大家提供几个思路
1.F12暂停法 回溯找到关键跳 跳过这个信息框就不会退出
2.下退出断点 在易原体那干掉退出 或者下退出那F2断点 等待断下后返回干掉退出 不过个人猜测这个方法虽然不会让程序退出
但是他会无限弹信息框 所以这个办法不怎么好 也就是说过2秒就弹一次信息框 很烦很烦
3.干掉时钟(这个是我采用的方法) 因为干掉信息框的那个方法已经被Shark恒用过了 而我是要用另外一种方法
所以我就采用这个办法去去除
有两个办法可以干掉时钟 1.在OD里面修改 2.XT
两个方法我都已经演示过了 为了节省时间这里我就不再截图了
00407EE0 56 push esi
00407EE1 8BF1 mov esi,ecx
00407EE3 E8 BE0A0500 call 第六集.004589A6
00407EE8 83F8 FF cmp eax,-0x1
00407EEB 75 06 jnz X第六集.00407EF3
00407EED 0BC0 or eax,eax
00407EEF 5E pop esi
00407EF0 C2 0400 retn 0x4
00407EF3 8B46 40 mov eax,dword ptr ds:[esi+0x40]
00407EF6 85C0 test eax,eax
00407EF8 7E 20 jle X第六集.00407F1A ////这个跳可以跳过
00407EFA 8B4E 4C mov ecx,dword ptr ds:[esi+0x4C]
00407EFD 85C9 test ecx,ecx
00407EFF 75 19 jnz X第六集.00407F1A ////这里的跳可以跳过建立时钟
00407F01 6A 00 push 0x0
00407F03 50 push eax
00407F04 8B46 1C mov eax,dword ptr ds:[esi+0x1C]
00407F07 68 E8030000 push 0x3E8
00407F0C 50 push eax
00407F0D FF15 E8654600 call dword ptr ds:[<&USER32.SetTimer>] ; user32.SetTimer ////这里是建立时钟
00407F13 C746 50 0100000>mov dword ptr ds:[esi+0x50],0x1
00407F1A 33C0 xor eax,eax
00407F1C 5E pop esi
也就是说上面的两个跳都给他改成Jmp 我们就可以干掉一个时钟 那么 因为这个程序有两个时钟 具体可参考源码
这里也就搞定了 还有一个办法是用XT的移除进程定时器
首先我们打开进程 然后用XT选择这个进程 右键---查看---查看进程定时器---右键---移除
就可以了 但是因为这个是2秒 所以我们没有办法在2秒之内搞定定时器 所以 这个方法只适用于5秒或者5秒以上的程序
这里只是提供一个思路而已 具体不懂看教程
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2013-6-30 01:32
