[求助]为什么非要在call里面修改寄存器eax的值-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 2 楼因为0059CAA4被多次调用。 2012-10-2 13:30 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 3 楼使用IDA,xref to查看59caa4,可以看到很多的call 59caa4,所以很多地方的call都需要修改，不如直接修改59caa4子程序。 2012-10-2 14:16 0
zbzb 雪币： 59 活跃值： (1486) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 377 粉丝 0 关注私信	zbzb 4 楼楼上和楼上的楼上正解。0059CAA4是个函数，这个函数可能会被调用多次，为了防止暗桩，或者多次校验，自然最优的修改方法是在0059CAA4里面修改 2012-10-2 14:20 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 5 楼 .text:0059B56F mov eax, [ebp+var_1C] .text:0059B572 push eax .text:0059B573 lea eax, [ebp+var_20] .text:0059B576 mov edx, [ebp+var_8] .text:0059B579 mov ecx, 0 .text:0059B57E call sub_406F48 .text:0059B583 mov edx, [ebp+var_20] .text:0059B586 mov eax, off_61DA14 .text:0059B58B mov eax, [eax] .text:0059B58D pop ecx //你看这个地方也有59caa4 .text:0059B58E call sub_59CAA4 .text:0059B593 test al, al .text:0059B595 jz loc_59B64C .text:0059B59B mov eax, off_61DA14 .text:0059B5A0 mov eax, [eax] .text:0059B5A2 mov ecx, [eax+390h] .text:0059B5A8 mov dl, 1 .text:0059B5AA mov eax, ds:off_44DFF0 .......... .text:0059D1D9 push eax .text:0059D1DA lea eax, [ebp+var_20] .text:0059D1DD mov edx, [ebp+var_4] .text:0059D1E0 mov ecx, 0 .text:0059D1E5 call sub_406F48 .text:0059D1EA mov edx, [ebp+var_20] .text:0059D1ED mov eax, esi .text:0059D1EF pop ecx //此处地址，call 59CAA4 .text:0059D1F0 call sub_59CAA4 .text:0059D1F5 test al, al .text:0059D1F7 jz short loc_59D1FD .text:0059D1F9 mov bl, 1 .text:0059D1FB jmp short loc_59D271 加上楼主找到的一处，总共有3处call 59caa4 2012-10-2 15:03 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 6 楼 5a10d9写入6个90h(nop),59b595写入6个90h(nop),59d1f7写入2个90h(nop),已经爆破，可以录制超过2分钟的声音。 2012-10-2 15:33 0
天空的蓝雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 30 粉丝 0 关注私信	天空的蓝 7 楼哇塞，终于搞明白其中的道理了，原来有3个call调用这句啊！，谢谢大家了，祝大家国庆节快乐 2012-10-2 21:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 2 楼因为0059CAA4被多次调用。 2012-10-2 13:30 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 3 楼使用IDA,xref to查看59caa4,可以看到很多的call 59caa4,所以很多地方的call都需要修改，不如直接修改59caa4子程序。 2012-10-2 14:16 0
zbzb 雪币： 59 活跃值： (1486) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 377 粉丝 0 关注私信	zbzb 4 楼楼上和楼上的楼上正解。0059CAA4是个函数，这个函数可能会被调用多次，为了防止暗桩，或者多次校验，自然最优的修改方法是在0059CAA4里面修改 2012-10-2 14:20 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 5 楼 .text:0059B56F mov eax, [ebp+var_1C] .text:0059B572 push eax .text:0059B573 lea eax, [ebp+var_20] .text:0059B576 mov edx, [ebp+var_8] .text:0059B579 mov ecx, 0 .text:0059B57E call sub_406F48 .text:0059B583 mov edx, [ebp+var_20] .text:0059B586 mov eax, off_61DA14 .text:0059B58B mov eax, [eax] .text:0059B58D pop ecx //你看这个地方也有59caa4 .text:0059B58E call sub_59CAA4 .text:0059B593 test al, al .text:0059B595 jz loc_59B64C .text:0059B59B mov eax, off_61DA14 .text:0059B5A0 mov eax, [eax] .text:0059B5A2 mov ecx, [eax+390h] .text:0059B5A8 mov dl, 1 .text:0059B5AA mov eax, ds:off_44DFF0 .......... .text:0059D1D9 push eax .text:0059D1DA lea eax, [ebp+var_20] .text:0059D1DD mov edx, [ebp+var_4] .text:0059D1E0 mov ecx, 0 .text:0059D1E5 call sub_406F48 .text:0059D1EA mov edx, [ebp+var_20] .text:0059D1ED mov eax, esi .text:0059D1EF pop ecx //此处地址，call 59CAA4 .text:0059D1F0 call sub_59CAA4 .text:0059D1F5 test al, al .text:0059D1F7 jz short loc_59D1FD .text:0059D1F9 mov bl, 1 .text:0059D1FB jmp short loc_59D271 加上楼主找到的一处，总共有3处call 59caa4 2012-10-2 15:03 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 6 楼 5a10d9写入6个90h(nop),59b595写入6个90h(nop),59d1f7写入2个90h(nop),已经爆破，可以录制超过2分钟的声音。 2012-10-2 15:33 0
天空的蓝雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 30 粉丝 0 关注私信	天空的蓝 7 楼哇塞，终于搞明白其中的道理了，原来有3个call调用这句啊！，谢谢大家了，祝大家国庆节快乐 2012-10-2 21:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复