|
|
|---|---|
|
|
我的XP SP1能跑起来。
|
|
|
就是有不能跨平台的问题。代码中使用了操作系统
相关的数据,用了kernel32,user32等的export table 等数据。dump出来的是XP SP1的加载地址。 异常时那个地址,实际是在访问XP SP1的export table. 在XP SP1和Win2K SP4下对比了一下,程序的走向相同, 数据不对。 0056458E mov eax,dword ptr ds:[eax] 这里得到的数据错误了。junk code太多,我还没有 完全看清楚。 
|
|
|
强!
|
|
|
兄弟潜水好久哦,强。
我不还会脱它 
|
|
|
|
|
|
|
|
|
|
|
|
邮件已收,thanks。
现在连着部分壳代码dump出来,避免追stolen code,是想省事。这里面包含一些壳代码自己使用的数据,如系统dll映射地址,api等,是在dump点之前填好的,数量还不少。 全找出来自己填,既麻烦又容易遗漏。增加iat中的数据项让os填,好象也不行。大概是最好的解决方式是追到oep,但dump的位置离oep实在有点远。我还没想到什么简单点的办法。
|
|
|
巨牛。
|
|
|
|
|
|
有个简单的办法解决跨平台问题,只是没什么技术含量了。
在不同的OS下dump,把结果比较一下即可得到与OS相关的数据。 我嫌写汇编代码麻烦,直接用VC写了个dll,用LoadPE修改 dumped_.exe,引入Patch.dll中的dummy即可。也可以在 入口处call一下LoadLibrary,反正就在DllMain里做的。 在WinXP SP1和Win2K SP4下可运行。不带Service pack的 XP,好象原版也跑不起来。 附件:Patch.rar |
|
|
辛苦了
等待教程
|
|
|
最初由 softworm 发布 来篇教学,这个解决方法不错。 |
|
|
|
