我正在尝试从此执行中找到ZipCryto密码,但是当我在ollydbg中打开它时,它总是返回关闭程序,因为IsDebuggerPresent模块。
我在互联网上找到了解决方案,并尝试着 - 使用ollydbg插件(隐藏调试器和IsDebugPresent) - 尝试在IsDebuggerPresent模块中进行NOP - 尝试强制在IsDebuggerPresent模块中返回0
没有工作。
我使用signsrch来查找处理ZipCrypto密码的位置,然后说
0041c57c 3052函数在哪里处理ZipCrypto密码[32.le.12&]
以及IsDebuggerPresent在哪里
00435cd8 2545反调试:IsDebuggerPresent [..17]
我可以绕过IsDebuggerPresent并在此执行中找到ZipCryto密码吗? 执行链接:https://mega.co.nz/#!PMdAjZab!bTO7VbZ6OjhJ_mgiigJ1BApDAgDeVWK_X-mKl9aMZw8
抱歉我的英语不好。 谢谢你。
答案 0 :(得分:0)
你应该在一个解析器中打开文件,找到它调用IsDebuggerPresent的位置然后最终关闭应用程序(或显示错误或者什么),这段代码你可以NOP以便禁用检查。
您可以使用IDA之类的解析器来阅读ASM代码,虽然他们不支持编辑,但您可以使用{{字节编辑代码(只需填写要用NOPS修补的区域) 3}}
答案 1 :(得分:0)
/ GS-将删除此依赖项。