关于重启暗装

这是一个飘零软FZ，但是我只是找到了传输地址
载入OD找到地址219.235.5.79/lly/lly.asp
然后用esp定律004FC4AA  /.  55            push ebp 此处为OEP
按CTRL+F搜索config
搜到了好几个，可是却找不到飘零的版本，
于是我点M在内存中搜索config
还是找不到版本号，迷茫了啊
问题1：麻烦大大指点一下，这个软件的飘零版本怎么找？

因为不知道版本没办法山寨，所以我尝试用push法爆破
搜FF25找到0048C3A3
        68 FC930152   push 0x520193FC
改为 68 10BB0152   push 0x5201BB10
然后F9运行
电脑果断重启了
然后我下断点ExitWindowsEx发现断不下来
我用XueTr工具禁止关机再调试还是没用，照样关机
问题2：关机暗装怎么找，如何去掉？

520Kelly 发表于 2014-12-26 14:06
版本号、这个用一键取就可以了，如果一键取不到

那就是改表名了

那重启暗装怎么去掉？

wdrvk 发表于 2014-12-26 14:07
那重启暗装怎么去掉？

还没去调试 我说不出来、我等下下载看下，晚上给你做个教程啥的

你们打开后有没有生成这个XXsrv.exe
提示文件不完整

附上火眼http://fireeye.ijinshan.com/analyse.html?md5=f7b6320d3a91b98ff4fe7605cc8e1c2f&sha1=83ee4746060e3bd4ec0a9679e4375b1a7fb8ecc7&type=1

他那个不是关机，是蓝屏造成的

https://www.52hb.com/thread-3802-1-1.html
找密码、找版本号……各种找。格盘讲的太详细了！自己去看看
版本号可以用config找~
还有就是你发的文件不全，本来想试试看的，运行不起来，缺文件~~~你再发个全包！

wdrvk 发表于 2014-12-26 14:07
那重启暗装怎么去掉？

这边搞得真特么头疼、文件不全导致各种问题、退出啥的、现在搞定了这一切、结果那些按钮全部都失效了、
真的醉了、头大了都，文件不全我也是醉了

搞完你这个飘零、易语言提示系统执行文件被病毒修改、真的是烦躁、

http://219.235.5.79/lly/lly.asp 传输地址

20080122                        传输密码

3.3                             版本号

飘零3.3的渣渣东西 文件不全的东西搞了头大、我真的是无语了、不想说什么 自己动手

520Kelly 发表于 2014-12-26 16:36
搞完你这个飘零、易语言提示系统执行文件被病毒修改、真的是烦躁、

http://219.235.5.79/lly/lly.asp 传 ...

这文件是我看见人家求破拿来教练手的，其实我也没有完成的……

找点杀毒碰到关机会自动拦截而且提示的呀,比如金山毒霸,火绒之类的