注册宝软件更新后变英文不知道该从那断了

5331423 · 发表于 2016-9-17 12:28

本帖最后由 5331423 于 2016-9-17 17:56 编辑

注册宝软件更新后变英文不知道该从那断了 COMHOOK我会，就是每次都要注入DLL 太麻烦了，软件上个版本补丁都知道从哪里下这次更新英文不知道从哪弄了

麻烦告诉这样的格式补丁

00403343    90          nop
00403344    90          nop
00403345    90          nop
00403346    90          nop
00403347    90          nop
00403348    90          nop

00403125    90          nop
00403126    90          nop
00403127    90          nop
00403128    90          nop
00403129    90          nop
0040312A    90          nop

难寻。 · 发表于 2016-9-17 12:28

最佳答案本应属于楼主私有，因此限制查看

您还有0次查看次数，点此查看答案

点此购买查看次数
也可以兑换VIP特权或加入解密专家，每日可免费查看5次最佳答案！

Luffy · 发表于 2016-9-17 13:05

本帖最后由 Luffy 于 2016-9-17 13:11 编辑

程序太大了，不下载了。用以下2种方法搜索字符串吧

第一种方法，先搜字符串找到“krnln.fnr”,找到下面的第二个CALL EAX下断，F9到这里，然后F7加F8跟到如下易语言原体的地方再次搜字符串就能搜到了。
00403384 FC             cld
00403385 DBE3          finit
00403387 E8 F6FFFFFF    call abc.00403382
0040338C 68 83334000    push abc.00403383
00403391 B8 03000000    mov eax,0x3
00403396 E8 32000000    call abc.004033CD
0040339B 83C4 04       add esp,0x4
0040339E 68 01000152    push 0x52010001
004033A3 E8 1F000000    call abc.004033C7
004033A8 83C4 04       add esp,0x4
004033AB 6A 00          push 0x0
004033AD E8 0F000000    call abc.004033C1
004033B2 E8 04000000    call abc.004033BB
004033B7 83C4 04       add esp,0x4
004033BA C3             retn

第二种方法要比第一种方法更快更简单。
第一步先找到程序文件的DATA段的起始地址。通常都是00403000.第一步基本上可以省略。
第二步直接运行程序，再CTRL+G，定位到DATA段的起始位置，即00403000.再搜字符串就可以搜出来了。其实和一般的程序差不多，其它的程序是先运行，然后定位00401000开始搜字符串，不同的是独立编译的易语言程序要定位到00403000
补丁
写内存字节集 (取进程ID (进程ID), 十六到十 (修改地址), 还原字节集 (“909090909090”)

5331423 · 发表于 2016-9-17 13:22

Luffy 发表于 2016-9-17 13:05
程序太大了，不下载了。用以下2种方法搜索字符串吧

第一种方法，先搜字符串找到“krnln.fnr”,找到下面 ...

还是没太明白不好意思，我不太懂新玩家

Luffy · 发表于 2016-9-17 13:46

5331423 发表于 2016-9-17 13:22
还是没太明白不好意思，我不太懂新玩家

OD载入，ALT+M，在第二个.data段F2下断，F9运行。中断在krnln库文件代码里，F8单步过下面的JMP就到程序领空了，这时就可以找字符串了。

5331423 · 发表于 2016-9-17 14:16

难寻。发表于 2016-9-17 13:34
00701F53 CB D0 D0 B1 BE C8 ED BC FE 21 00 38 41 32 31 31 诵斜救砑?.8A211
00701F63 38 36 45 2D 30 ...

怎么找到 00701F53

Aydos · 发表于 2016-9-17 14:30

难寻。发表于 2016-9-17 13:34
00701F53 CB D0 D0 B1 BE C8 ED BC FE 21 00 38 41 32 31 31 诵斜救砑?.8A211
00701F63 38 36 45 2D 30 ...

你是怎么断下来的，我的一个注册宝也和他一样的情况，求解答

5331423 · 发表于 2016-9-17 14:48

ads123123 发表于 2016-9-17 14:30
你是怎么断下来的，我的一个注册宝也和他一样的情况，求解答

我也没有断下呵呵研究呢

5331423 · 发表于 2016-9-17 15:13

难寻。发表于 2016-9-17 13:34
00701F53 CB D0 D0 B1 BE C8 ED BC FE 21 00 38 41 32 31 31 诵斜救砑?.8A211
00701F63 38 36 45 2D 30 ...

怎么山寨啊

5331423 · 发表于 2016-9-17 15:17

Luffy 发表于 2016-9-17 13:46
OD载入，ALT+M，在第二个.data段F2下断，F9运行。中断在krnln库文件代码里，F8单步过下面的JMP就到程 ...

能不能给个教程我，谢谢

		自动登录	找回密码
密码			立即注册

注册宝软件更新后变英文不知道该从那断了

最佳答案

评分

最佳答案本应属于楼主私有，因此限制查看