[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
[QUOTE=CCDebuger;319138]我直接手脱的。yoda's Protector 的保护主要有这几点:1、锁键盘鼠标,可以通过断 BlockInput 解决。2、父进程检测,可以通过断 bp CreateFileA,F9几次,当看到堆栈中出现如0012EAF4 008D56B9 |FileName = "\\.\NTICE"这样的内容时返回,找到相应位置后改掉。3、锁任务栏,可以通过设bp GetWindowLongA,断下来后记下相应值,当调用SetWindowLongA时改堆栈来去掉这个保护。4、输入表加密可以通过断bp GetProcAddress,返回后NOP掉相应处的加密代码,等输入表处理完了再恢复。5、时间校验,通过断bp GetTickCount来改。最后这个程序是C++Builder的,输入表不连续,要自己确定IAT的起始地址和大小。以前我脱一个yada的壳时曾经做过笔记,不过论坛上有很多这个壳的教程,我就不贴出来了。
