标签:数据 png 标志位 右键 amp 划线 技术 crackme 系统
我遇到的vb的nag情况是程序一开始就跳出一个nag,汇编代码如下
push AfKayAs_.004067D4
call <jmp.&MSVBVM50.#100>意思是push 一段内存数据,然后直接call出了nag。并且进入call之后是在系统领空,所以要看push内存里面的东西。
在od中右键push AfKayAs_.00406704->在数据窗口中跟随->立即数
Timer如果这个nag设置了一个计时器(也就是这个nag要等一段时间才能消失),可以在数据框右键->查找->二进制字符串
输入Timer(这个是设置计时器会有的标志),在这个Timer后面的字节中有个03的标志位,紧跟着设置的延时,将这个延时的时间改小,就可以让nag一闪而过,(注意是大端序还是小端序),这个时间的单位是
或者另一种找Timer的方法是,看push的内存的地址是哪里,比如上面我遇到的情况,可以直接拉到地址为0x4067D4的地方,往上找就可以看到相应的代码(这个方法没有测试过,仅在此例子)
Ep:
CrackMe 03
这个是小端序的程序,双击数据将581b改成1000就达到了去nag的效果
4c大法也就是窗口执行顺序的调整
把nag的窗口调后,从而达到去nag的方法
跳转数据窗口后,在数据窗口中中,画下划线的都是od分析出来的内存地址,也就是可以右键跳转查看数据。
窗体的数据在第二个内存地址跳转处,也就是第二条下划线选中那四个字节,右键->数据窗口中跟随。之后可以看到
启动标志10代表先启动,改换标志位,可以达到更换启动的顺序。这个位置一般在每个窗口数据块开始偏移的第41个字节
标签:数据 png 标志位 右键 amp 划线 技术 crackme 系统
原文地址:https://www.cnblogs.com/militray-axe/p/12359466.html
