这个时候只需要把push -0x4,改成push 0就可以,搜索push -0x4正常会出现4个有效的,第一个上面应该是 cmp dword ptr ss:[ebp-0x1C],0x564D5868,也就是通过in eax,dx的检测方式,
但一般这个调用的时候会出现在后面,执行不到这个位置,搜索下面三个,下断点,另外两个下断点应该会提示内部错误,正常执行到的那一个改一下就行了(都被检测到就根据下面的方式找到多个jnz调用的,往前一些下断点)
-----
更快速一些的判断就是这个push -0x4有三个以上调用来自jnz xxxxxx
下面是两个例子,到时候如果被检测到内部错误就往前一些下断点
1.png (29.57 KB, 下载次数: 0)
下载附件
2024-6-23 11:32 上传
2.png (29.83 KB, 下载次数: 0)
下载附件
2024-6-23 11:32 上传
