能力值:
( LV2,RANK:10 )
|
-
-
2 楼
运行这个杀毒就提示
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
0040FA08 /E08E4100 dd unpacked.00418EE0 ; UNICODE "ht"
这里就是弹出窗口网址吧。。
问LZ 自校验怎么去掉的?
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
Ctrl+B,输入20 12 40
跳过去然后RETN回来就可以了
不知道楼上是怎么找弹窗的,我完全不懂,可以说下过程么
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
查找字符串
我是对照以前版本弄的
以前的版本查找字符串可以发现弹出窗口地址附近的其他字符串
0040F9A0 dd dumped_.004185A8 UNICODE "qqbanlv"
0040F9A8 dd dumped_.00417A64 UNICODE "Farmkey"
0040F9B4 dd dumped_.00418CDC UNICODE "b01K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8&6L8X3q4E0K9h3y4Q4x3X3g2I4P5X3!0F1k6g2)9J5k6i4q4I4i4K6u0W2j5$3!0E0"
0040F9B8 dd dumped_.00418D18 UNICODE "/fcg-bin/cgi_web_redirect.fcg?"
0040F9BC dd dumped_.00418D5C UNICODE "Host: dynamic.qzone.qq.com"
0040F9C0 dd dumped_.00418D98 UNICODE "zzpanelkey="
0040F9C4 dd dumped_.00418DB4 UNICODE ";path="
0040F9C8 dd dumped_.00418DC8 UNICODE "393K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3y4G2N6h3&6@1i4K6u0W2N6i4f1J5x3#2)9J5k6h3y4G2L8g2)9J5c8X3y4G2N6h3&6@1i4K6u0r3N6U0u0Q4x3X3f1@1x3q4)9J5k6h3S2@1L8h3H3`." //这个就是弹出窗口地址了
0040F9CC dd dumped_.00418E1C UNICODE "GET"
0040F9D4 dd dumped_.00418E28 UNICODE "\Profile_v1_"
0040F9D8 dd dumped_.00417FF8 UNICODE ".db"
0040F9DC dd dumped_.00418E68 UNICODE "MDB"
上面的是旧版本的 新版本的只是 0040F9C8 dd dumped_.00418DC8 UNICODE "10cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3y4G2N6h3&6@1i4K6u0W2N6i4f1J5x3#2)9J5k6h3y4G2L8g2)9J5c8X3y4G2N6h3&6@1i4K6u0r3N6U0u0Q4x3X3f1@1x3q4)9J5k6h3S2@1L8h3H3`." 这句没有完全显示出来 新版本的就是显示成这样了
0040FA08 /E08E4100 dd unpacked.00418EE0 ; UNICODE "ht"
所以可以根据旧版本查找到的弹出窗口地址字符串附近的字符 对比下新版本的就很容易找到了
可能方法很笨。。。但是我也不知道有什么新方法 知道的可以说说。。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
谢谢楼上  找到之后再怎么去弹窗?
我的处理方法和去校验一样,找个没用的地方跳过再retn回来,不知道这样对不对
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
在数据窗口里 ctrl+G 输入00418EE0 确定。。
数据显示成UNICODE 就会看到那个 “ht” 然后鼠标选中 “ht” 右键 二进制 用0填充 然后保存文件就可以了
|
|
|
|
