求助一个FZ的退出验证问题！

试试退出特征码
退出暗装       C3CCCCCC558BEC8B450850B9

闪耀 发表于 2015-3-1 12:07
试试退出特征码
退出暗装       C3CCCCCC558BEC8B450850B9

你说的那里我已经RETN。但是我感觉另一个导致退出的地方是下边我找的这个判断
0050FC65      57            push edi
0050FC66  |.  E8 9F000000   call 牧马人.0050FD0A
0050FC6B  |.  6A 01         push 0x1
0050FC6D  |.  5F            pop edi
0050FC6E  |.  393D D4896E00 cmp dword ptr ds:[0x6E89D4],edi
0050FC74  |.  75 11         jnz X牧马人.0050FC87
0050FC76  |.  FF7424 08     push dword ptr ss:[esp+0x8]              ; /ExitCode
0050FC7A  |.  FF15 A8E35200 call dword ptr ds:[<&KERNEL32.GetCurrent>; |[GetCurrentProcess
0050FC80  |.  50            push eax                                 ; |hProcess
0050FC81  |.  FF15 C4E15200 call dword ptr ds:[<&KERNEL32.TerminateP>; \TerminateProcess
0050FC87  |>  837C24 0C 00  cmp dword ptr ss:[esp+0xC],0x0
0050FC8C  |.  53            push ebx
0050FC8D  |.  8B5C24 14     mov ebx,dword ptr ss:[esp+0x14]
0050FC91  |.  893D D0896E00 mov dword ptr ds:[0x6E89D0],edi
0050FC97  |.  881D CC896E00 mov byte ptr ds:[0x6E89CC],bl
0050FC9D  |.  75 3C         jnz X牧马人.0050FCDB
0050FC9F  |.  A1 F4CB6E00   mov eax,dword ptr ds:[0x6ECBF4]
0050FCA4  |.  85C0          test eax,eax
0050FCA6  |.  74 22         je X牧马人.0050FCCA
0050FCA8  |.  8B0D F0CB6E00 mov ecx,dword ptr ds:[0x6ECBF0]
0050FCAE  |.  56            push esi
0050FCAF  |.  8D71 FC       lea esi,dword ptr ds:[ecx-0x4]
0050FCB2  |.  3BF0          cmp esi,eax
0050FCB4  |.  72 13         jb X牧马人.0050FCC9
0050FCB6  |>  8B06          /mov eax,dword ptr ds:[esi]
0050FCB8  |.  85C0          |test eax,eax
0050FCBA  |.  74 02         |je X牧马人.0050FCBE
0050FCBC  |.  FFD0          |call eax
0050FCBE  |>  83EE 04       |sub esi,0x4
0050FCC1  |.  3B35 F4CB6E00 |cmp esi,dword ptr ds:[0x6ECBF4]
0050FCC7  |.^ 73 ED         \jnb X牧马人.0050FCB6
0050FCC9  |>  5E            pop esi
0050FCCA  |>  68 10216700   push 牧马人.00672110
0050FCCF  |.  68 04216700   push 牧马人.00672104
0050FCD4  |.  E8 43000000   call 牧马人.0050FD1C
0050FCD9  |.  59            pop ecx
0050FCDA  |.  59            pop ecx
0050FCDB  |>  68 1C216700   push 牧马人.0067211C
0050FCE0  |.  68 14216700   push 牧马人.00672114
0050FCE5  |.  E8 32000000   call 牧马人.0050FD1C
0050FCEA  |.  59            pop ecx
0050FCEB  |.  59            pop ecx
0050FCEC  |.  85DB          test ebx,ebx
0050FCEE  |.  5B            pop ebx
0050FCEF      74 07         je X牧马人.0050FCF8////////////////////这里判断
0050FCF1  |.  E8 1D000000   call 牧马人.0050FD13
0050FCF6  |.  5F            pop edi
0050FCF7  |.  C3            retn
0050FCF8  |>  FF7424 08     push dword ptr ss:[esp+0x8]              ; /ExitCode
0050FCFC  |.  893D D4896E00 mov dword ptr ds:[0x6E89D4],edi          ; |
0050FD02  \.  FF15 B0E25200 call dword ptr ds:[<&KERNEL32.ExitProces>; \ExitProcess////退出

520Kelly 发表于 2015-3-1 15:42
感觉把那个jnz直接NOP了以后，死活都会退出，

所以还是push 窗体自行解决暗桩吧，只是不知道有没有功能 ...

我PUSH找不到地址，PUSH 10001找到的哪个地址不知道为什么，没有反应

东子郭 发表于 2015-3-1 15:47
我PUSH找不到地址，PUSH 10001找到的哪个地址不知道为什么，没有反应

push 52010001是正确的窗体、

520Kelly 发表于 2015-3-1 15:48
push 52010001是正确的窗体、

我就是用的这个地址，push 52010001，是不是我操作有问题，我很少用push方法的。我曹组的流程：运行程序--来到00401000处---push 10001---找到窗体（52010001）---FF 25处---向上找到push xxxxx--修改成push 52010001---运行程序。对吗？

kingone 发表于 2015-3-1 09:23
不知道是否有功能哦。

能详细说明一下或者出个教程吗？谢谢

520Kelly 发表于 2015-3-1 15:48
push 52010001是正确的窗体、

已经按照你说的成功出现程序界面，但是没有功能

520Kelly 发表于 2015-3-1 15:42
感觉把那个jnz直接NOP了以后，死活都会退出，

所以还是push 窗体自行解决暗桩吧，只是不知道有没有功能 ...

能告诉我这是什么网络验证吗？谢谢

东子郭 发表于 2015-3-2 22:04
能告诉我这是什么网络验证吗？谢谢

飘零云、push窗体应该是没功能的、

520Kelly 发表于 2015-3-2 22:05
飘零云、push窗体应该是没功能的、

我刚才也搜索了一下，是云验证，我截取的网络验证的有一个网址：X1.27ZY.COM，是不是这种东西山寨才能有功能？push我试过了肯定没有功能，补码会不会有功能？