NAG的去除

六人行

这个去掉NAG的小例子做了很久也没有解决
F12暂停法和bp  rtcMsgBox都试过了，返回不到程序的领空，问题解决不了
对这两种方法可能还是不太了解。
希望高手给分析下，给个去除过程
谢谢了

答案见下
感谢Register和wellen的帮助。
希望大家讨论下多出些方法……

mycsy

のVb程序……好一个郁闷

六人行

のVb程序……好一个郁闷
mycsy 发表于 2009-4-24 21:42

什么意思？VB的难对付？麻烦给分析下:'(

Register

蛮简单的..........


我是用最土的方法,一步一步来,希望大哥们别见笑

733936F5    E8 9B010000     CALL MSVBVM60.73393895

7339397C    E8 0E410000     CALL MSVBVM60.73397A8F

73397B21    E8 8A240000     CALL MSVBVM60.73399FB0

733AE69E    E8 48160500     CALL MSVBVM60.733FFCEB

733FFD9E    FF50 1C         CALL DWORD PTR DS:[EAX+1C]

733F84C0    E8 0DC2FFFF     CALL MSVBVM60.733F46D2

733F474C    E8 E5D6FCFF     CALL MSVBVM60.733C1E36

733C1E48    E8 29000000     CALL MSVBVM60.733C1E76

733C2152    E8 A5040200     CALL MSVBVM60.733E25FC

733E2612    E8 E2FBFFFF     CALL MSVBVM60.733E21F9

733E2446    E8 9BFBFFFF     CALL MSVBVM60.733E1FE6

733E20C5    E8 E5FEFFFF     CALL MSVBVM60.733E1FAF

733E1FDF    E8 E1FCFFFF     CALL MSVBVM60.733E1CC5

733E1CE1    FFD0            CALL EAX                                 ; CrackmeN.0040CE10   进入0040CE10,在开头处"retn"

7348D308    FFD0            CALL EAX                                 ; <JMP.&MSVBVM60.#595>

六人行

上面的大侠麻烦给讲讲这怎么弄的啊:(

wellen

很简单 rtcMsgBox 断下后 注意看  0013FB14   去堆栈0013FB14附近 一般都能找到     0040CE10处retn即可 不过不是全部的都可以

pepsiguest

原来是 BP MethCallEngine后看下堆栈..学习了.

六人行

0040CE10    B8 38000000     mov eax,38
0040CE15    66:3D 33C0      cmp ax,0C033
0040CE19    BA 30CF4000     mov edx,CrackmeN.0040CF30
0040CE1E    68 3E104000     push <jmp.&MSVBVM60.MethCallEngine>
0040CE23    C3              retn

0040CE1E    68 3E104000     push <jmp.&MSVBVM60.MethCallEngine>

把这个nop掉就成功了，多谢……
改为

0040CE1E    90              nop
0040CE1F    90              nop
0040CE20    90              nop
0040CE21    90              nop
0040CE22    90              nop

进入0040CE10,在开头处"retn"

不知道是不是改成这样

0040CE10    C3              retn

都可以去掉NAG。