鹏少破解教程之 字符串查看
鹏少破解教程之 字符串查看天为教大家如何查看 的字符串 字符串就是用OD查看出 的关键偏移 基址等
例如易语言中写:十六到十(“基址或者偏移”) 我们利用OD能看到的只有“基址或者偏移”
当然有一些 作者会使用一些办法隐藏这些基址或偏移 常见的就是十进制或者字节集
今天我就教大家查看一款收费 “XNF翼龙”的字符串 这个 加的是sedata壳子
利用工具OD查看数据PE查壳 .sedata 简称SE强壳有的OD自带过SE插件 没有这个插件的只能用附加方式来采取脱壳了 他这个是DLL写法 所以首先得提取出DLL来
下面看我操作我这有过SE插件的OD但是为了教程 我用吾爱OD
首先启动XNF翼龙程序在打开OD选择文件附加然后找到XNF翼龙的进程后附加
鼠标右击 转到 表达式输入00401000也可以输入401000
- - 貌似搞错了 这个是注入器不用这个步骤
鼠标右击 然后脱壳这样壳子脱了之后程序是不能运行的所以只能脱DLL文件
打开PE然后把XNF翼龙拖进PE内选择 提取 提取以上所有这时会出现几个DLL文件
一般是第二个DLL也有的作者添加很多DLL所以我们需要判断的
一般情况下看DLL的属性版本版本所有写易语言制作这个就是程序主DLL
下面来看DLL的字符串 也就是我们本课主要教程打开OD然后将DLL直接拖进OD即可
然后F9运行一下看到提示“暂停”状态时 鼠标右击 转到 表达式 输入“10001000”
然后鼠标右击“分析” “从模块中删除分析”
看到“xor eax,eax”后鼠标右击 “搜索” “强制搜索开启”“智能搜索”
现在看到的就是菊花了 “1B90740=5”这个就是远程出售的写法 只要在易语言中“内容”
中的文字只要不是作者特意隐藏 用OD全部能看到就算隐藏了也有很多人可以强制搜
索出来的但是本人还没达到那种地步这个是翼龙的回血“1B0009C+371C=1”
本节课到此结束
**** Hidden Message *****
支持一下 不错 这个一定要回复 谢谢楼主....感谢 感谢楼主,有你们这样人人,社会才会W美 楼主加油,我们都看好你哦。 看看,楼主您辛苦了。。。 我擦!我要沙发! 真是被感动的痛哭流涕…… 沙发???
