简单的关机暗装，到了这一步我不知道如何进行了

残魂 · 发表于 2018-2-18 01:39

这软件感觉已经不是暗装的问题了。是系统的问题吧

李沉舟 · 发表于 2018-2-18 08:13

win不是提供了一个进程作业机制吗？在作业里的进程可以限制权限，比如，不能关机。vista以后会默认把程序放到一个作业里面，要修改它的manifest。自己写代码搞定。

569121786 · 发表于 2018-2-18 15:48

SHUTDOWN不是有字符串么？还有内存地址，直接ctrl+g跳转到地址，逐层往上分析，不要段首ret。看看有没有跳过或者赋值，因为暗装可能并不是一个

byh3025 · 发表于 2018-2-18 20:08

whatever1s 发表于 2018-2-18 00:04
有没有通俗易懂的操作方式。。我有点不明白那个意思，我刚刚直接汇编改成了retn，软件运行过程中就会报错 ...

他是让你找到这个段的段首，然后retn

ladybe · 发表于 2018-2-19 15:14

看图逆向.. 发软件链接呀上传度娘或者微云都可以

whatever1s · 发表于 2018-2-20 23:05

569121786 发表于 2018-2-18 16:09
暗装已经去掉了，很简单的，代码被v了，上面有一个push ebp，直接ret，吾爱汇编OD运行，无关机

兄弟确实不会关机了，但是脚本程序也无法运行，运行到一半就断了

569121786 · 发表于 2018-2-21 11:48

whatever1s 发表于 2018-2-20 23:05
兄弟确实不会关机了，但是脚本程序也无法运行，运行到一半就断了

那就找时钟，看看有没有循环检测防逆向，把退出ret掉，你说的去掉暗装，我只是去掉暗装，在OD内运行了，没关机了

whatever1s · 发表于 2018-2-21 18:49

569121786 发表于 2018-2-21 11:48
那就找时钟，看看有没有循环检测防逆向，把退出ret掉，你说的去掉暗装，我只是去掉暗装，在OD内运行了， ...

我在想能不能找关键CALL 去改，有点难受

whatever1s · 发表于 2018-2-26 09:34

569121786 发表于 2018-2-21 11:48
那就找时钟，看看有没有循环检测防逆向，把退出ret掉，你说的去掉暗装，我只是去掉暗装，在OD内运行了， ...

已经逆向掉了，谢谢大佬，我没有去逆向注册码，我直接逆向的开始按钮- -，不注册的情况下直接使用，然后按照你的方式把关机暗装去了，就正常使用了，谢谢，最佳答案给您了，如果大佬用空，看能不能帮我看看怎么逆向里面的永久功能，就是非永久用户无法打钩的位置。

whatever1s · 发表于 2018-2-26 09:38

残魂发表于 2018-2-18 00:41
先给你看下图。我用本机试试。win7 64的

直接逆向的F9按钮，然后关机字符上段首直接RETN，就PJ了。谢谢哈，已经搞完了

		自动登录	找回密码
密码			立即注册