支持一下

书也买了,论坛资料也看了,可还是不会
我是不是有点笨???
真有点想退出了

最初由 fly 发布


Here

终于能运行了！
只是每次运行都出现这个：

说明你做的某些方面还是有问题的
调试看看哪里导致的错误

俺对。这个还是不怎么明白。。

0073448C    8366 0C 00      and dword ptr ds:[esi+C],0
//这里清空ImageImportDescriptor的Name！     NOP掉 ①  ★
当我们中断后返回007344AF时，这里已经运行过一次了，清除了第一个Name指针。
可以根据当时的寄存器情况来恢复这个指针。在007344AF时ESI＝0062B000，[esi+C]＝[0062B00C]=00 00，而EBX＝0062BB34 ASCII "KERNEL32.dll" 是第一个处理的DLL名，所以可以确定[0062B00C]=0022BB34，修改之，否则DLLName会有错误 ★

假如当时的寄 存器的?为
EAX 77E10000 kernel32.77E10000
ECX 77E18172 kernel32.77E18172
EDX 77FB2340 ntdll.77FB2340
EBX 004C7B7C ASCII "KERNEL32.dll"
ESP 0012FF5C
EBP 000E0000
ESI 004C6A28 0ll.004C6A28
EDI 05F09939
EIP 004F586B 0ll.004F586B
。。
该怎样修改。。
该不会是[4c6a34]=000c7b7   //
  
郁闷中。。。。。

000C7B7C
先看一点PE结构输入表知识

最初由 fly 发布
说明你做的某些方面还是有问题的
调试看看哪里导致的错误

不好跟呀！
它一会出现这个错误，一会又正常～～～～

你去其他系统平台下看看
这样有问题容易发现点

55楼的贴子写错了。。应该是。[4c6a34]=000c7b7c
丢了一个C。就大错特错了。。。
想知道：
在007344AF时ESI＝0062B000，[esi+C]＝[0062B00C]=00 00，

这句话你为何要+C。
  

菜中菜。。。。

最初由 snow 发布
55楼的贴子写错了。。应该是。[4c6a34]=000c7b7c
丢了一个C。就大错特错了。。。
想知道：
在007344AF时ESI＝0062B000，[esi+C]＝[0062B00C]=00 00，

........

因为：
00734473    8B95 46F84000   mov edx,dword ptr ss:[ebp+40F846]
00734479    8BB5 07F94000   mov esi,dword ptr ss:[ebp+40F907]
0073447F    03F2            add esi,edx
00734481    8B46 0C         mov eax,dword ptr ds:[esi+C]       //将[esi+C]放入eax
00734484    0BC0            or eax,eax
00734486    0F84 25020000   je 007346B1
0073448C    8366 0C 00      and dword ptr ds:[esi+C],0
//这里清空ImageImportDescriptor的Name！     NOP掉 ①  ★
当我们中断后返回007344AF时，这里已经运行过一次了，清除了第一个Name指针。
可以根据当时的寄存器情况来恢复这个指针。在007344AF时ESI＝0062B000，[esi+C]＝[0062B00C]=00 00，而EBX＝0062BB34 ASCII "KERNEL32.dll" 是第一个处理的DLL名，所以可以确定[0062B00C]=0022BB34，修改之，否则DLLName会有错误 ★

在007344AF，此时ESI＝0062B000，[esi+C]＝[0062B00C]=00 00

OD下d 0062B00C
0062B00C=00 00 00 00
改成：
0062B00C=34 BB 22 00

0073448C    8366 0C 00      and dword ptr ds:[esi+C],0

辛苦了版主
学习中......