听了这节课,有一个很大的疑惑。为什么破解的时候可以nop掉动态链接库的call呢?dll不是我们应用程序调用的一部分吗,如果nop掉,为什么程序还会正常运行呢》?
还有一个疑惑:为什么有的call可以F8步过,但是本节课中有一个call,F8无法步过,却进入了ntdll里呢
大笨钟 发表于 2013-2-8 10:56 static/image/common/back.gif
听了这节课,有一个很大的疑惑。为什么破解的时候可以nop掉动态链接库的call呢?dll不是我们应用程序调用的 ...
这节课木有NOP掉动态链接库的CALL吧?大概在什么位置呢?我回头看下~ 小甲鱼 发表于 2013-2-8 19:59 static/image/common/back.gif
这节课木有NOP掉动态链接库的CALL吧?大概在什么位置呢?我回头看下~
在 15分38秒处 大笨钟 发表于 2013-2-9 00:16 static/image/common/back.gif
在 15分38秒处
4开头的都是程序领空~ 我用fishcod查找关键字,怎么也找不到你视频里的地址。我还是得看你找到的地址,然后直接跳过去的,求解,难道OD版本不同? wocaoni 发表于 2013-4-30 11:48 static/image/common/back.gif
我用fishcod查找关键字,怎么也找不到你视频里的地址。我还是得看你找到的地址,然后直接跳过去的,求解,难 ...
不同的操作环境和编译环境会导致地址有所不同哦~
第十二讲 - OD使用教程12的另外一种解法和疑问讨论
本帖最后由 D.调dē哗丽 于 2013-6-5 09:41 编辑我找到了另外一个解法,用的第八课下的方法,思路:
因为在破解后,软件启动时<Unregistered Version>这个字符串不显示,
所以我想,可能在启动时会进行是否注册的检验,如果通过注册检验,那<Unregistered Version>不会显示,About中的<Unregistered Version>也不会显示。
根据这个,我搜索字符串,找到出现<Unregistered Version>的地址,然后发现和第八课类似的,用eax地址的值进行判断
http://bbs.fishc.com/forum.php?mod=attachment&aid=MTI0NjV8OTZlMjY2OTN8MTM3MDM5NjM3MnwyMDY4MDJ8MzI0NzA%3D&noupdate=yes
然后搜索常量 5a53f4,全部下断,
http://bbs.fishc.com/forum.php?mod=attachment&aid=MTI0NjZ8MzEzZmU0MmR8MTM3MDM5NjM3MnwyMDY4MDJ8MzI0NzA%3D&noupdate=yes
重新载入程序,运行,程序会断到此处
http://bbs.fishc.com/forum.php?mod=attachment&aid=MTI0Njl8NmM1OGFmZWZ8MTM3MDM5NjM3MnwyMDY4MDJ8MzI0NzA%3D&noupdate=yes
然后我比葫芦画瓢,进行了如下图的更改
http://bbs.fishc.com/forum.php?mod=attachment&aid=MTI0Njh8MjNjM2Q4MTN8MTM3MDM5NjM3MnwyMDY4MDJ8MzI0NzA%3D&noupdate=yes
保存程序,运行一下,果然可以,全部NAG去除
疑问
这样的话程序成功爆破,但是疑问也顺其产生,下面并没有比较,为什么程序可以完美去除NAG?
我的理解是这个5A53F4地址存放的是注册与否的一个判断值,已注册为0,未注册为1
本人全新菜鸟,不知道这个思路是否正确,请各位指点!谢谢! 我只是路过打酱油的。 无图 伤心。。。。。。。。。。。。。 感恩无私的分享与奉献 :) 无回帖,不论坛,这才是人道。 讲的很详细,一些我们一错的地方都很有耐心的错误演示,支持:lol: 支持小甲鱼老湿,继续加油 :cry 贵贵贵贵贵~ 没有鱼币了,怎么办 强烈支持楼主ing……
支持小甲鱼~~~积极回帖拿鱼币:loveliness::loveliness::loveliness: 感谢老师的视频 就是鱼币太多了 不够了:cry 学习
页:
1
[2]