首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
修改sys文件后加载发现修改的地址还是文件偏移
发表于: 2009-12-21 00:39 3839

修改sys文件后加载发现修改的地址还是文件偏移

charkqf 活跃值
2009-12-21 00:39
3839
我只是想把call与je换下位置,让他CMP后调用,
修改完文件,计算效验和,加载调试,发现修改的指令 MOV EAX,[121E4]
在运行时还是121E4,其它地址都随基址改变了。惟独我改过的还是显示文件偏移,何解????

///////////////////////原码///////////////////
00011062: E8 7FFCFFFF CALL 00010CE6
00011067: 33F6 XOR ESI,ESI
00011069: 56 PUSH ESI
0001106A: 56 PUSH ESI
0001106B: 56 PUSH ESI
0001106C: 56 PUSH ESI
0001106D: FF35 E4210100 PUSH DWORD PTR [121E4]
00011073: FF15 58170100 CALL NEAR [11758]
00011079: A1 E4210100 MOV EAX,[121E4]
0001107E: 3BC6 CMP EAX,ESI
00011080: 74 0C JE SHORT 0001108E
00011082: 68 4E6F6E65 PUSH 656E6F4E
00011087: 50 PUSH EAX
00011088: FF15 80170100 CALL NEAR [11780]
0001108E: 68 F01C0100 PUSH 11CF0

//////////////////////修改后//////////////////////////
00011062: E8 7FFCFFFF CALL 00010CE6
00011067: 33F6 XOR ESI,ESI
00011069: A1 E4210100 MOV EAX,[121E4]
0001106E: 3BC6 CMP EAX,ESI
00011070: 74 1C JE SHORT 0001108E
00011072: 56 PUSH ESI
00011073: 56 PUSH ESI
00011074: 56 PUSH ESI
00011075: 56 PUSH ESI
00011076: FF35 E4210100 PUSH DWORD PTR [121E4]
0001107C: FF15 58170100 CALL [11758]
00011082: 68 4E6F6E65 PUSH 656E6F4E
00011087: 50 PUSH EAX
00011088: FF15 80170100 CALL [11780]
0001108E: 68 F01C0100 PUSH 11CF0

/////////////////////////完整代码////////////////////////////
0001105A: 8BFF MOV EDI,EDI
0001105C: 55 PUSH EBP
0001105D: 8BEC MOV EBP,ESP
0001105F: 51 PUSH ECX
00011060: 51 PUSH ECX
00011061: 56 PUSH ESI
00011062: E8 7FFCFFFF CALL 00010CE6
00011067: 33F6 XOR ESI,ESI
00011069: 56 PUSH ESI
0001106A: 56 PUSH ESI
0001106B: 56 PUSH ESI
0001106C: 56 PUSH ESI
0001106D: FF35 E4210100 PUSH DWORD PTR [121E4]
00011073: FF15 58170100 CALL NEAR [11758]
00011079: A1 E4210100 MOV EAX,[121E4]
0001107E: 3BC6 CMP EAX,ESI
00011080: 74 0C JE SHORT 0001108E
00011082: 68 4E6F6E65 PUSH 656E6F4E
00011087: 50 PUSH EAX
00011088: FF15 80170100 CALL NEAR [11780]
0001108E: 68 F01C0100 PUSH 11CF0
00011093: FF15 54170100 CALL NEAR [11754]
00011099: 8B45 08 MOV EAX,[EBP+8]
0001109C: FF70 04 PUSH DWORD PTR [EAX+4]
0001109F: FF15 50170100 CALL NEAR [11750]
000110A5: 834D FC FF OR DWORD PTR [EBP-4],FFFFFFFF
000110A9: 8D45 F8 LEA EAX,[EBP-8]
000110AC: 50 PUSH EAX
000110AD: 6A 01 PUSH 1
000110AF: 56 PUSH ESI
000110B0: C745 F8 00E548FF MOV DWORD PTR [EBP-8],FF48E500
000110B7: FF15 4C170100 CALL NEAR [1174C]
000110BD: 5E POP ESI
000110BE: C9 LEAVE
000110BF: C2 0400 RETN 4

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
怀特迈恩
雪    币: 444
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
修改完计算效验和加载调试发现我修改的指定 MOV EAX,[121E4]
指令在运行是还是 121E4,用c32asm修改我记得不会发生这种情况,

麻烦改掉错别字,这段话看了2分钟,结论是语句不通,逻辑不清。楼主语文高考没及格

另:楼主发完贴简单读遍自己的贴可以吗?
2009-12-21 11:30
0
charkqf
雪    币: 178
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
停点用的ups,火速中的错误~
如何你真的花了两分钟读我那一句话,我非常抱歉! 因为我一个逗号花了你40秒!
2009-12-21 11:49
0
怀特迈恩
雪    币: 444
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
楼主太高看我等的文字理解能力了。
修改完计算效验和加载调试发现我修改的指定 MOV EAX,[121E4]
指令在运行是还是 121E4,用c32asm修改我记得不会发生这种情况,

能经过语法分析得出下面这段话
修改完文件,计算效验和,加载调试,发现修改的指令 MOV EAX,[121E4]
在运行时还是121E4,其它地址都随基址改变了。惟独我改过的还是显示文件偏移,何解????

我刻薄点的说,楼主很冲,冲就算了,还死不承认错误。
希望你每天都遇到 你的所谓逗号漏写的错误
2009-12-21 12:22
0
怀特迈恩
雪    币: 444
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
引用
其它地址都随基址改变了

既然代码都贴的清楚了,这个
其他地址
是哪几行代码中的哪个数,打几个字不行啊,非要笼统的说。明显是你哪地方理解错了,那说清楚你是怎么认为的,怎么理解的就OK了。

别人为啥不回贴,明显楼主不适应大家,而不是大家不适应楼主。
2009-12-21 12:26
0
charkqf
雪    币: 178
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
如果你也是初学者,别人用你的话来回复你~不知道你感觉是否会很好~
如果你认为技术比别人好就可以随意洗刷~我想你错了,没人会期待这样的帮助~
帮助本是善意,你在这里浪费的时间我只能深表歉意~ 贴子我也不准备改了~的确我自己能理解,如何真的大家都不能理解那可能是我对某些概念还不清楚,还需要去学习。 就当是水贴了
2010-1-6 16:54
0
liuyq
雪    币: 285
活跃值: (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
7
你用什么工具改的代码?
2010-1-6 17:15
0
王攀
雪    币: 102
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
坐好,学习。。
2010-1-7 12:15
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//