用OD修改了，怎么保存？-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 用OD修改了，怎么保存？ 0.00雪花

发表于: 2011-12-16 20:26 17922

[旧帖] 用OD修改了，怎么保存？ 0.00雪花

mmaihh

2011-12-16 20:26

17922

求高手指教~我是新手，最好说的详细点啊~谢谢了~

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・2

免费・0

支持

最新回复 (42) 1 2 ▶
mmaihh 雪币： 118 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 76 粉丝 0 关注私信	mmaihh 2 楼右键没有【复制到可执行文件】这个选项 2011-12-16 20:52 0
mmaihh 雪币： 118 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 76 粉丝 0 关注私信	mmaihh 3 楼堆栈不能修改保存吗？ 2011-12-16 22:01 0
ikeurey 雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	ikeurey 4 楼似乎只能在上面的汇编代码保存吧 2011-12-16 22:26 0
mmaihh 雪币： 118 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 76 粉丝 0 关注私信	mmaihh 5 楼 2011-12-16 22:28 0
pbt 雪币： 170 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	pbt 6 楼同样非常的迷惑。。。。。 2011-12-18 19:48 0
blueparrot 雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	blueparrot 7 楼堆栈那里改不能存的。要在反汇编窗口或内存窗口，所修改的内容上右键，复制到可执行文件。查看0012A47C内容，在OD的命令行输入：dd 0012A47C即可 2011-12-18 20:16 0
hio 雪币： 131 活跃值： (156) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 1 关注私信	hio 8 楼只有代码段的代码可以保存。选中修改过的代码，右键，复制到可执行文件，选中（只保存选中的）；全部（保存全部修改过的地方）……然后会打开一个新子窗口，再点保存即可 2011-12-18 21:25 0
断空雪币： 2210 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 77 粉丝 0 关注私信	断空 1 9 楼看哪个汇编代码,引用了这个字符串将对应的CALL NOP掉,右下角是堆栈区,无法保存下来的只能保存左上角的汇编代码区 2011-12-19 09:19 0
xuqiqw 雪币： 49 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 37 粉丝 1 关注私信	xuqiqw 1 10 楼堆栈动态的不能保存吧...只能改代码 2011-12-19 18:27 0
PNCK 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	PNCK 11 楼堆栈是临时数据（局部变量就保存在堆栈，或者准确的说，变量存在栈stack，对象存在堆heap）od右下角是stack，也就是局部变量的值，这肯定无法存到程序里的，正确的做法是找到生成数据的地方，修改代码使它生成你想要的数据 2011-12-20 00:10 0
seuer 雪币： 139 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 277 粉丝 0 关注私信	seuer 12 楼右边的寄存器的内容无法修改啊，只能修改左边的反汇编代码啊！！ 2011-12-20 16:48 0
yifengda 雪币： 161 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	yifengda 13 楼曾经也碰到过类似的问题，不过最后放弃了 2011-12-22 21:51 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 14 楼要 nop 掉的不是字符串，而是调用 call ，逆向的基础是正向。先踏实的从C学起吧 2011-12-22 23:31 0
xiuning 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	xiuning 15 楼只有代码段的代码可以保存。选中修改过的代码，右键，复制到可执行文件，选中（只保存选中的）；全部（保存全部修改过的地方）……然后会打开一个新子窗口，再点保存即可 2011-12-23 00:34 0
FindCall 雪币： 45 活跃值： (109) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	FindCall 16 楼你找到这个字符串在程序中出现的所有位置弹提示框的话很肯能会把这个字符串push进去找到call的位置然后记下偏移用winhex打开后找到地方直接改成90就可以了 2011-12-23 08:11 0
michease 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	michease 17 楼同意这位仁兄说的，楼主仔细琢磨下。 2011-12-23 08:36 0
liyizhu 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 206 粉丝 0 关注私信	liyizhu 18 楼在OD左下角数据窗口改也可以的 2011-12-23 11:36 0
nydzdoking 雪币： 108 活跃值： (56) 能力值： ( LV7，RANK：100 ) 在线值：发帖 16 回帖 74 粉丝 0 关注私信	nydzdoking 2 19 楼这个问题,我困惑我好久...这个问题要彻底搞清楚...需要一点PE知识的.要不然死活明白不了. 在OD CPU窗口所看到的代码(内存中),在可执行文件中(磁盘文件中)都有对应的位置. 故可作操作 [复制到可执行文件] . 也就是说你在内存中把可执行文件代码改了...同时又要修改到对应的文件所在位置,就可以用这个操作,OD自动帮你定位. 很多人就用这项技术打补丁.这样你的操作就保存到文件中了. 按我的理解,只要可执行文件存在的节区范围.都可这样做. 在文件中没有对应的位置就做不了这项操作.. 如:堆栈,完全程序运行所需要临时内存空间,在文件中没有对应的空间.临时申请的内存空间等等...都不能做这项操作..... 2011-12-25 21:51 0
电速极光雪币： 159 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 843 粉丝 0 关注私信	电速极光 20 楼 LZ的OD右键怎么会没有复制到可执行文件这个选项呢？我用的OD都有的，我用过好几个版本的OD。 2011-12-26 11:08 0
走在路上雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	走在路上 21 楼你改过的那行代码选中再右击选中复制到可执行代码在保存 2012-1-5 19:00 0
yxgbo 雪币： 34 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 86 粉丝 0 关注私信	yxgbo 22 楼栈中地址0x0012a47c 是经常变化的，应该在数据窗口中找到这个栈地址存放的字符串地址（0x001acb90），然后在数据窗口修改相应的字符。 2012-1-5 21:29 0
laohai 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 284 粉丝 0 关注私信	laohai 23 楼从堆栈选中处右键，反汇编窗口跟随，再到反汇编主窗口看看代码吧。 2012-1-6 07:06 0
shineway 雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	shineway 24 楼我用WinHex 2012-1-7 21:44 0
wf王飞雪币： 62 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 109 粉丝 0 关注私信	wf王飞 25 楼谢谢学习了 2012-1-8 22:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

mmaihh

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (42) 1 2 ▶
mmaihh 雪币： 118 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 76 粉丝 0 关注私信	mmaihh 2 楼右键没有【复制到可执行文件】这个选项 2011-12-16 20:52 0
mmaihh 雪币： 118 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 76 粉丝 0 关注私信	mmaihh 3 楼堆栈不能修改保存吗？ 2011-12-16 22:01 0
ikeurey 雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	ikeurey 4 楼似乎只能在上面的汇编代码保存吧 2011-12-16 22:26 0
mmaihh 雪币： 118 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 76 粉丝 0 关注私信	mmaihh 5 楼 2011-12-16 22:28 0
pbt 雪币： 170 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	pbt 6 楼同样非常的迷惑。。。。。 2011-12-18 19:48 0
blueparrot 雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	blueparrot 7 楼堆栈那里改不能存的。要在反汇编窗口或内存窗口，所修改的内容上右键，复制到可执行文件。查看0012A47C内容，在OD的命令行输入：dd 0012A47C即可 2011-12-18 20:16 0
hio 雪币： 131 活跃值： (156) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 1 关注私信	hio 8 楼只有代码段的代码可以保存。选中修改过的代码，右键，复制到可执行文件，选中（只保存选中的）；全部（保存全部修改过的地方）……然后会打开一个新子窗口，再点保存即可 2011-12-18 21:25 0
断空雪币： 2210 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 77 粉丝 0 关注私信	断空 1 9 楼看哪个汇编代码,引用了这个字符串将对应的CALL NOP掉,右下角是堆栈区,无法保存下来的只能保存左上角的汇编代码区 2011-12-19 09:19 0
xuqiqw 雪币： 49 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 37 粉丝 1 关注私信	xuqiqw 1 10 楼堆栈动态的不能保存吧...只能改代码 2011-12-19 18:27 0
PNCK 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	PNCK 11 楼堆栈是临时数据（局部变量就保存在堆栈，或者准确的说，变量存在栈stack，对象存在堆heap）od右下角是stack，也就是局部变量的值，这肯定无法存到程序里的，正确的做法是找到生成数据的地方，修改代码使它生成你想要的数据 2011-12-20 00:10 0
seuer 雪币： 139 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 277 粉丝 0 关注私信	seuer 12 楼右边的寄存器的内容无法修改啊，只能修改左边的反汇编代码啊！！ 2011-12-20 16:48 0
yifengda 雪币： 161 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	yifengda 13 楼曾经也碰到过类似的问题，不过最后放弃了 2011-12-22 21:51 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 14 楼要 nop 掉的不是字符串，而是调用 call ，逆向的基础是正向。先踏实的从C学起吧 2011-12-22 23:31 0
xiuning 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	xiuning 15 楼只有代码段的代码可以保存。选中修改过的代码，右键，复制到可执行文件，选中（只保存选中的）；全部（保存全部修改过的地方）……然后会打开一个新子窗口，再点保存即可 2011-12-23 00:34 0
FindCall 雪币： 45 活跃值： (109) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	FindCall 16 楼你找到这个字符串在程序中出现的所有位置弹提示框的话很肯能会把这个字符串push进去找到call的位置然后记下偏移用winhex打开后找到地方直接改成90就可以了 2011-12-23 08:11 0
michease 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	michease 17 楼同意这位仁兄说的，楼主仔细琢磨下。 2011-12-23 08:36 0
liyizhu 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 206 粉丝 0 关注私信	liyizhu 18 楼在OD左下角数据窗口改也可以的 2011-12-23 11:36 0
nydzdoking 雪币： 108 活跃值： (56) 能力值： ( LV7，RANK：100 ) 在线值：发帖 16 回帖 74 粉丝 0 关注私信	nydzdoking 2 19 楼这个问题,我困惑我好久...这个问题要彻底搞清楚...需要一点PE知识的.要不然死活明白不了. 在OD CPU窗口所看到的代码(内存中),在可执行文件中(磁盘文件中)都有对应的位置. 故可作操作 [复制到可执行文件] . 也就是说你在内存中把可执行文件代码改了...同时又要修改到对应的文件所在位置,就可以用这个操作,OD自动帮你定位. 很多人就用这项技术打补丁.这样你的操作就保存到文件中了. 按我的理解,只要可执行文件存在的节区范围.都可这样做. 在文件中没有对应的位置就做不了这项操作.. 如:堆栈,完全程序运行所需要临时内存空间,在文件中没有对应的空间.临时申请的内存空间等等...都不能做这项操作..... 2011-12-25 21:51 0
电速极光雪币： 159 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 843 粉丝 0 关注私信	电速极光 20 楼 LZ的OD右键怎么会没有复制到可执行文件这个选项呢？我用的OD都有的，我用过好几个版本的OD。 2011-12-26 11:08 0
走在路上雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	走在路上 21 楼你改过的那行代码选中再右击选中复制到可执行代码在保存 2012-1-5 19:00 0
yxgbo 雪币： 34 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 86 粉丝 0 关注私信	yxgbo 22 楼栈中地址0x0012a47c 是经常变化的，应该在数据窗口中找到这个栈地址存放的字符串地址（0x001acb90），然后在数据窗口修改相应的字符。 2012-1-5 21:29 0
laohai 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 284 粉丝 0 关注私信	laohai 23 楼从堆栈选中处右键，反汇编窗口跟随，再到反汇编主窗口看看代码吧。 2012-1-6 07:06 0
shineway 雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	shineway 24 楼我用WinHex 2012-1-7 21:44 0
wf王飞雪币： 62 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 109 粉丝 0 关注私信	wf王飞 25 楼谢谢学习了 2012-1-8 22:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复