有没有办法去掉这个程序的调试检验？

zeknight

软件在：http://tele.skycn.com/soft/40800.html

今天随便找了个软件来练习，突然发现用OD载入以后无法运行！只要一运行程序马上程序就出现错误然后退出！

请教各位高手如何躲过这种软件的调试检测？我用过OD的隐藏功能没有用处！

飘云

加壳了吧？ 多换个OD试试。

月之精灵

我试了下，第一次没发现什么问题OD就直接退出，但再跑一次就可以跑了哈（我是先挂接然后下了断点），后来发现删除所有断点也能跑起来，只是偶尔会退出，重新来次就好了哈


[ 本帖最后由 月之精灵 于 2010-5-19 18:12 编辑 ]

zeknight

原帖由 月之精灵 于 2010-5-19 18:02 发表
我试了下，第一次没发现什么问题OD就直接退出，但再跑一次就可以跑了哈（我是先挂接然后下了断点），后来发现删除所有断点也能跑起来，只是偶尔会退出，重新来次就好了哈
50503

你用的OD是自己修改的吗？

月之精灵

看雪的ICE

zeknight

原帖由 月之精灵 于 2010-5-19 21:19 发表
看雪的ICE

版主你在上面说的“挂接”是什么意思啊？难道是附加进程？

我在附加进程中可以调试，直接调试就不行！

月之精灵

就是附加进程哈

zeknight

原帖由 月之精灵 于 2010-5-20 11:41 发表
就是附加进程哈

附加进程后，仍然不能通过搜索字符串来查找关键CALL，这里只有用C32工具


通过工具我找到如下关键部位：


注册出错信息




通过查找，找到关键CALL和关键跳



通过直接更改JE处，到这一步



但是我没有办法进行重启验证，因为一重启软件就要重新运行，如果用OD直接载入，然后F9的话就会出错！中断调试

我就是卡在这里了！



我也尝试直接修改这里，但是修改以后发现不能顺利运行！我猜想在这个关键CALL中还进行着某些值的传递！

请各位指点！

月之精灵

软件有校验的，建议做个DLL型补丁，位置找得不错哈

飘云

原帖由 zeknight 于 2010-5-20 12:57 发表



附加进程后，仍然不能通过搜索字符串来查找关键CALL，这里只有用C32工具


通过工具我找到如下关键部位：


注册出错信息

50536


通过查找，找到关键CALL和关键跳

50537

通过直接更改JE处， ...

文件有校验，用winhex打开文件，可以看到后面有个值~~ 修改之后这个值就和原版不同了


//留意这些~ 通过断算法CALL然后返回就可以找到
008978A6   .  66:C705 E4529600 000>mov     word ptr [9652E4], 0        //标志位赋值

008977B3   . |66:C705 E4529600 000>mov     word ptr [9652E4], 0 //标志位赋值

你应该想到怎么做了~

bp rtcFileLength 然后返回，走啊走、、、、

007A7780  mov     edi, 8
007A7785  cmp     eax, edi                        //断到这里之后，EDX里面就会显示那个特征码  抄下来，就可以了


用winhex打开 把这个码改写回去就happy了~~~ good luckly~

不用winhex改的话~~ 自行跟踪代码流程，，也很简单，留给你自己复习~