[求助]ida代码修改请教-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]ida代码修改请教

发表于: 2011-10-19 22:36 26066

[求助]ida代码修改请教

vagary

2011-10-19 22:36

26066

ida代码修改请教

用od调试了一个32位的软件
之后再用ida同启相同的64位软件,要修改暴破点

以前我都是用ida查找到暴破点
再用ultraedit这软件以二进制方式修改代码
例如74改为75

己知暴破点代码为
mov [r9-10h], r15b
二进制为45 88 79 F0

想要修改成
mov [r9-10h], 1
二进制该如何修改??

因为我只会用ultraedit来修改64位的dll

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

收藏・3

免费・0

支持

最新回复 (18)
moonflow 雪币： 102 活跃值： (85) 能力值： ( LV7，RANK：110 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	moonflow 2 2 楼 IDA cfg 目录下-> idagui.cfg ,把DISPLAY_PATCH_SUBMENU = NO 修改这个 NO 为 YES 这样在编辑菜单下会多出一个 PATCH Program 的选项，然后就可以用里头的assemble来修改了 2011-10-19 23:45 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 3 楼 IDB 是数据库，与可执行文件无关，楼上修改的只是 “数据库” 2011-10-20 07:38 0
droiyan 雪币： 260 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 94 粉丝 0 关注私信	droiyan 4 楼楼上正解，IDA分析修改完全与原程序无关，只与它生成的数据库有关。 2011-10-20 09:34 0
星期七雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	星期七 5 楼可以用2楼的方法，但最后还要将结果保存为dif文件，这个文件里面存放着位置+修改数据，自己再实现一个小工具去批量修改，并不难。 2011-10-20 16:32 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 6 楼用OD修改吧，找到代码位置 2011-10-20 16:37 0
hiber 雪币： 135 活跃值： (719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 185 粉丝 0 关注私信	hiber 7 楼好像新的6.2中可以支持patch到原始文件(由于ida中保存了相关数据在原文件中的偏移,因而要做patch应该不难) 或者输出diff文件,手动修改 2011-10-20 20:22 0
vagary 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 46 粉丝 0 关注私信	vagary 8 楼 6楼的朋友这dll档是64位的而且这是个外挂软件单load这个dll od是load不来的所以才改用ida啊 2011-10-23 21:30 0
vagary 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 46 粉丝 0 关注私信	vagary 9 楼 ida的dif生成后如何修改因为我不会用ida 只会用来查找64位和32位的相对位址 2011-10-23 21:31 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 10 楼找到对应位置，UE 等都可以的吧 2011-10-24 09:23 0
vagary 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 46 粉丝 0 关注私信	vagary 11 楼 ue我有找到相对应位址只是我不知道 mov [r9-10h], 1 二进制该如何修改?? 2011-10-24 10:06 0
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 12 楼如果byte ptr [r9-10h]为0的话,可以使用 41 FE 41 F0 inc byte ptr [r9-10h] 刚好4byte 如果没有上下文可利用的 41 C6 41 F0 01 mov byte ptr [r9-10h], 1 不过5byte,需要patch下 2011-10-24 11:33 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 13 楼可以在 IDA 里，修改后查找对应机器码，记下，然后回到 UE 里写入啊 2011-10-24 11:56 0
vagary 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 46 粉丝 0 关注私信	vagary 14 楼 [QUOTE=疯子;1012723]如果byte ptr [r9-10h]为0的话,可以使用 41 FE 41 F0 inc byte ptr [r9-10h] 刚好4byte 如果没有上下文可利用的 41 C6 41 F0 01 mov byte ptr [r9-10h], 1 不过5byte,需...[/QUOTE] 能否请教 inc byte ptr [r9-10h] 解释其意思 2011-10-24 12:59 0
vagary 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 46 粉丝 0 关注私信	vagary 15 楼原始码为 mov [r9-10h], r15b 二进制为 45 88 79 F0 48 8D 3D 10 F8 00 00 48 8B F0 B9 07 修改为 mov [r9-10h], 1 二进制一样为 45 88 79 F0 48 8D 3D 10 F8 00 00 48 8B F0 B9 07 是我的方法不对吗 2011-10-24 13:00 0
vagary 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 46 粉丝 0 关注私信	vagary 16 楼请问有什么调试器能和OD一样直接看到代码是 mov cl,al 而不是 mov [r9-10h], r15b 最好还能如od一样可以直接修改存档因为od单开不了这类型软件的dll档 2011-10-24 13:50 0
Pan88168 雪币： 463 活跃值： (116) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1103 粉丝 8 关注私信	Pan88168 17 楼 [QUOTE=疯子;1012723]如果byte ptr [r9-10h]为0的话,可以使用 41 FE 41 F0 刚好4byte 如果没有上下文可利用的 41 C6 41 F0 01 mov byte ptr [r9-10h], 1 不过5byte,需...[/QUOTE] 这个流程只到这里一次吗? 如果只执行到这里一次.当我没说.. 如果是, inc byte ptr [r9-10h] //每次加1. mov byte ptr [r9-10h], 1 //固定为1. 2011-10-26 05:58 0
vagary 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 46 粉丝 0 关注私信	vagary 18 楼 [QUOTE=Pan88168;1013369]这个流程只到这里一次吗? 如果只执行到这里一次.当我没说.. 如果是, inc byte ptr [r9-10h] //每次加1. mov byte ptr [r9-10h], 1 //固定为1.[/QUOTE] 这里固定为1 为1表示有license 为0表示无licnese 2011-10-26 07:49 0
vagary 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 46 粉丝 0 关注私信	vagary 19 楼无意间翻到c32asm 这软件符合我的需要可单开这怪怪的64位dll 又可直接编修 2011-10-26 07:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

vagary

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
moonflow 雪币： 102 活跃值： (85) 能力值： ( LV7，RANK：110 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	moonflow 2 2 楼 IDA cfg 目录下-> idagui.cfg ,把DISPLAY_PATCH_SUBMENU = NO 修改这个 NO 为 YES 这样在编辑菜单下会多出一个 PATCH Program 的选项，然后就可以用里头的assemble来修改了 2011-10-19 23:45 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 3 楼 IDB 是数据库，与可执行文件无关，楼上修改的只是 “数据库” 2011-10-20 07:38 0
droiyan 雪币： 260 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 94 粉丝 0 关注私信	droiyan 4 楼楼上正解，IDA分析修改完全与原程序无关，只与它生成的数据库有关。 2011-10-20 09:34 0
星期七雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	星期七 5 楼可以用2楼的方法，但最后还要将结果保存为dif文件，这个文件里面存放着位置+修改数据，自己再实现一个小工具去批量修改，并不难。 2011-10-20 16:32 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 6 楼用OD修改吧，找到代码位置 2011-10-20 16:37 0
hiber 雪币： 135 活跃值： (719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 185 粉丝 0 关注私信	hiber 7 楼好像新的6.2中可以支持patch到原始文件(由于ida中保存了相关数据在原文件中的偏移,因而要做patch应该不难) 或者输出diff文件,手动修改 2011-10-20 20:22 0
vagary 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 46 粉丝 0 关注私信	vagary 8 楼 6楼的朋友这dll档是64位的而且这是个外挂软件单load这个dll od是load不来的所以才改用ida啊 2011-10-23 21:30 0
vagary 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 46 粉丝 0 关注私信	vagary 9 楼 ida的dif生成后如何修改因为我不会用ida 只会用来查找64位和32位的相对位址 2011-10-23 21:31 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 10 楼找到对应位置，UE 等都可以的吧 2011-10-24 09:23 0
vagary 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 46 粉丝 0 关注私信	vagary 11 楼 ue我有找到相对应位址只是我不知道 mov [r9-10h], 1 二进制该如何修改?? 2011-10-24 10:06 0
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 12 楼如果byte ptr [r9-10h]为0的话,可以使用 41 FE 41 F0 inc byte ptr [r9-10h] 刚好4byte 如果没有上下文可利用的 41 C6 41 F0 01 mov byte ptr [r9-10h], 1 不过5byte,需要patch下 2011-10-24 11:33 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 13 楼可以在 IDA 里，修改后查找对应机器码，记下，然后回到 UE 里写入啊 2011-10-24 11:56 0
vagary 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 46 粉丝 0 关注私信	vagary 14 楼 [QUOTE=疯子;1012723]如果byte ptr [r9-10h]为0的话,可以使用 41 FE 41 F0 inc byte ptr [r9-10h] 刚好4byte 如果没有上下文可利用的 41 C6 41 F0 01 mov byte ptr [r9-10h], 1 不过5byte,需...[/QUOTE] 能否请教 inc byte ptr [r9-10h] 解释其意思 2011-10-24 12:59 0
vagary 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 46 粉丝 0 关注私信	vagary 15 楼原始码为 mov [r9-10h], r15b 二进制为 45 88 79 F0 48 8D 3D 10 F8 00 00 48 8B F0 B9 07 修改为 mov [r9-10h], 1 二进制一样为 45 88 79 F0 48 8D 3D 10 F8 00 00 48 8B F0 B9 07 是我的方法不对吗 2011-10-24 13:00 0
vagary 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 46 粉丝 0 关注私信	vagary 16 楼请问有什么调试器能和OD一样直接看到代码是 mov cl,al 而不是 mov [r9-10h], r15b 最好还能如od一样可以直接修改存档因为od单开不了这类型软件的dll档 2011-10-24 13:50 0
Pan88168 雪币： 463 活跃值： (116) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1103 粉丝 8 关注私信	Pan88168 17 楼 [QUOTE=疯子;1012723]如果byte ptr [r9-10h]为0的话,可以使用 41 FE 41 F0 刚好4byte 如果没有上下文可利用的 41 C6 41 F0 01 mov byte ptr [r9-10h], 1 不过5byte,需...[/QUOTE] 这个流程只到这里一次吗? 如果只执行到这里一次.当我没说.. 如果是, inc byte ptr [r9-10h] //每次加1. mov byte ptr [r9-10h], 1 //固定为1. 2011-10-26 05:58 0
vagary 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 46 粉丝 0 关注私信	vagary 18 楼 [QUOTE=Pan88168;1013369]这个流程只到这里一次吗? 如果只执行到这里一次.当我没说.. 如果是, inc byte ptr [r9-10h] //每次加1. mov byte ptr [r9-10h], 1 //固定为1.[/QUOTE] 这里固定为1 为1表示有license 为0表示无licnese 2011-10-26 07:49 0
vagary 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 46 粉丝 0 关注私信	vagary 19 楼无意间翻到c32asm 这软件符合我的需要可单开这怪怪的64位dll 又可直接编修 2011-10-26 07:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复