[求助]小弟自己用E语言写了个去除NAG的程序,可是去不掉了.请各位高手帮助.谢谢!-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2 楼 00403453 E8 7F000000 call 004034D7 --> 00403453 90 90909090 nop nop nop nop nop 2008-2-18 23:11 0
glassfox 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 69 粉丝 0 关注私信	glassfox 3 楼给点思路好么? petnt 大侠. 我无论是用 bp CreateWindowExA 还是 MessageBoxA 都拦截不下来除了单步跟踪有更好的办法么? 2008-2-18 23:41 0
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 4 楼 00403425 68 04000080 push 80000004 0040342A 6A 00 push 0 0040342C 68 D2304000 push 004030D2 ; nag 00403431 68 01030080 push 80000301 00403436 6A 00 push 0 00403438 68 00000000 push 0 0040343D 68 04000080 push 80000004 00403442 6A 00 push 0 00403444 68 D6304000 push 004030D6 ; kill this nag 00403449 68 03000000 push 3 0040344E BB 00030000 mov ebx, 300 00403453 E8 7F000000 call 004034D7 上面是E语言的MessageBox的表现形式，你可以用字符串查找工具找到"kill this nag" E语言的东西有一定的格式可循，如： 00403489 FC cld 0040348A DBE3 finit 0040348C E8 F6FFFFFF call 00403487 00403491 68 88344000 push 00403488 00403496 B8 03000000 mov eax, 3 0040349B E8 31000000 call 004034D1 004034A0 83C4 04 add esp, 4 004034A3 68 01000152 push 52010001 004034A8 E8 1E000000 call 004034CB ; (initial cpu selection) 004034AD 83C4 04 add esp, 4 004034B0 6A 00 push 0 004034B2 E8 0E000000 call 004034C5 004034B7 E8 03000000 call 004034BF 004034BC 83C4 04 add esp, 4 004034BF - FF25 8E334000 jmp dword ptr [40338E] ; krnln.10029892 004034C5 - FF25 92334000 jmp dword ptr [403392] ; krnln.100297FD 004034CB - FF25 96334000 jmp dword ptr [403396] ; krnln.10029827 004034D1 - FF25 9A334000 jmp dword ptr [40339A] ; krnln.10028F95 004034D7 - FF25 76334000 jmp dword ptr [403376] ; krnln.10029011 004034DD - FF25 7E334000 jmp dword ptr [40337E] ; krnln.100297D6 上面这个样子的好像就是他的消息处理，而在上面这段代码的上面就是用户代码。个人经验，仅供参考。 2008-2-19 00:00 0
glassfox 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 69 粉丝 0 关注私信	glassfox 5 楼多些 petnt 大侠的指教! 感谢! 2008-2-19 00:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2 楼 00403453 E8 7F000000 call 004034D7 --> 00403453 90 90909090 nop nop nop nop nop 2008-2-18 23:11 0
glassfox 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 69 粉丝 0 关注私信	glassfox 3 楼给点思路好么? petnt 大侠. 我无论是用 bp CreateWindowExA 还是 MessageBoxA 都拦截不下来除了单步跟踪有更好的办法么? 2008-2-18 23:41 0
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 4 楼 00403425 68 04000080 push 80000004 0040342A 6A 00 push 0 0040342C 68 D2304000 push 004030D2 ; nag 00403431 68 01030080 push 80000301 00403436 6A 00 push 0 00403438 68 00000000 push 0 0040343D 68 04000080 push 80000004 00403442 6A 00 push 0 00403444 68 D6304000 push 004030D6 ; kill this nag 00403449 68 03000000 push 3 0040344E BB 00030000 mov ebx, 300 00403453 E8 7F000000 call 004034D7 上面是E语言的MessageBox的表现形式，你可以用字符串查找工具找到"kill this nag" E语言的东西有一定的格式可循，如： 00403489 FC cld 0040348A DBE3 finit 0040348C E8 F6FFFFFF call 00403487 00403491 68 88344000 push 00403488 00403496 B8 03000000 mov eax, 3 0040349B E8 31000000 call 004034D1 004034A0 83C4 04 add esp, 4 004034A3 68 01000152 push 52010001 004034A8 E8 1E000000 call 004034CB ; (initial cpu selection) 004034AD 83C4 04 add esp, 4 004034B0 6A 00 push 0 004034B2 E8 0E000000 call 004034C5 004034B7 E8 03000000 call 004034BF 004034BC 83C4 04 add esp, 4 004034BF - FF25 8E334000 jmp dword ptr [40338E] ; krnln.10029892 004034C5 - FF25 92334000 jmp dword ptr [403392] ; krnln.100297FD 004034CB - FF25 96334000 jmp dword ptr [403396] ; krnln.10029827 004034D1 - FF25 9A334000 jmp dword ptr [40339A] ; krnln.10028F95 004034D7 - FF25 76334000 jmp dword ptr [403376] ; krnln.10029011 004034DD - FF25 7E334000 jmp dword ptr [40337E] ; krnln.100297D6 上面这个样子的好像就是他的消息处理，而在上面这段代码的上面就是用户代码。个人经验，仅供参考。 2008-2-19 00:00 0
glassfox 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 69 粉丝 0 关注私信	glassfox 5 楼多些 petnt 大侠的指教! 感谢! 2008-2-19 00:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复