首页
社区
课程
招聘
[旧帖] 求OD脚本大牛帮忙把我讲的流程写成OD脚本。 0.00雪花
发表于: 2012-11-28 21:11 3722

[旧帖] 求OD脚本大牛帮忙把我讲的流程写成OD脚本。 0.00雪花

2012-11-28 21:11
3722
我不太会写脚本。一句一句的写很麻烦。十几万多个比较。
脚本的大概意思就是我下好了断点在00401000处断下就比较EAX,是否是0。EBX是否是1235678
每次断下都比较.
eAx:014 ebx:00401000               第一次断下就比较这两个寄存器的值。如果两个都一样就继续第二行。如果不一样就暂停脚本。
eAx:0267 ebx:00401200             继续到第二次中断就比较第二行的这两个寄存器的值。是否一样,如果不一样就暂停脚本。
eAx:0113 ebx:00401800
eAx:099 ebx:00401000
eAx:0987 ebx:004A1000            (意思就是第几次中断就比较第几行的两个寄存器的值。)
eAx:0494 ebx:00401000
eAx:088 ebx:00402000
eAx:084 ebx:004A1000
eAx:666 ebx:00401000
一个循环比较中断第一次就比较第一行的EAX,和EBX的值是否一样。一样就继续。第一次中断就比较第一行。第二次中断就比较第二行。第三次中断就比较第三行的EAX,和EBX两个值,一样就继续不两个有一个不一样就暂停脚本。

如此类推。有十几万行EAX,和EBX的记录。把那些记录写成脚本重新跑这个脚本到这个位置进行比较。能写吗?

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (7)
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
乱七八糟的,前文不接后尾,没办法帮你
2012-11-28 21:25
0
雪    币: 1731
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
怎么前文不接后尾了。汗。我表述是有点乱。
其实意思很简单,就是中断到00401000位置比较自己定义的EAX,和EBX的值是否一样。一样就继续运行又中断在00401000位置比较自己定义的第二行的EAX,和EBX的值。就这样。好乱吗?
2012-11-28 22:58
0
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
就你现在提供的信息没办法写

中断了,相等就继续,不想等呢  ??????????????????   继续运行中断比较 ?????????????????   
中断比较的是 EAX和EBX 相等 ,还是 各自比较预先设定自定义数据,你会表达吗 ?

没耐心了,楼下继续
2012-11-28 23:23
0
雪    币: 1731
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
--------------------------------------------------------------------------------------------------------------
这下面的是首先要定义要比较中断后两个寄存器里值。

eAx:014 ebx:00401000               第一次断下就比较这两个寄存器的值。如果两个都一样就继续第二行。如果不一样就暂停脚本。
eAx:0267 ebx:00401200             继续到第二次中断就比较第二行的这两个寄存器的值。是否一样,如果不一样就暂停脚本。
eAx:0113 ebx:00401800
eAx:099 ebx:00401000
eAx:0987 ebx:004A1000            (意思就是第几次中断就比较第几行的两个寄存器的值。)
eAx:0494 ebx:00401000
eAx:088 ebx:00402000
eAx:084 ebx:004A1000
eAx:666 ebx:00401000
-------------------------------------------------------------------------------------------------------------------------------------
2012-11-28 23:24
0
雪    币: 1731
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
额,都不是说清楚了么,当然是中断后当前的EAX,比较定义的EAX,的值是否一样。然后也比较EBX,和定义的EBX的值是否一样。一样就继续运行一次也会中断在这里然后比较第二行定义的。不一样的话就暂停脚本。哥。(难到是EAX,比较EBX么。两个根本不一样的还需要比较吗?)
2012-11-28 23:35
0
雪    币: 1731
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
我弄了一个小录像。还望大牛不嫌麻烦下载来看下是否能编写出来。

外链:http://pan.baidu.com/share/link?shareid=140326&uk=403655533
2012-11-29 02:47
0
雪    币: 1731
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
要比较的脚本里批量定义好。就是因为量太多了一个一个写比较会死人的。

eax:AB1F18 ebx:7FFDC000
eax:AB23A0 ebx:0
eax:AB27E8 ebx:0
eax:AB2810 ebx:0
eax:AB2868 ebx:0
eax:AB28F0 ebx:0
eax:AB2938 ebx:0
eax:AB2980 ebx:0
eax:AB29D8 ebx:0
eax:AB2A00 ebx:0
eax:AB2A48 ebx:0
eax:AB2A70 ebx:0
eax:AB2AA8 ebx:0
eax:AB2AD0 ebx:0
eax:AB2AE8 ebx:0
eax:AB2B20 ebx:0
eax:AB2B48 ebx:0
eax:AB2B70 ebx:0
eax:AB2B88 ebx:0
eax:AB2C00 ebx:0
eax:AB2C48 ebx:0
eax:AB2C70 ebx:0
eax:AB2CC8 ebx:0
eax:AB2CF0 ebx:0
eax:AB2D18 ebx:0
eax:AB2D40 ebx:0
eax:AB2D68 ebx:0
eax:AB2D80 ebx:0
eax:AB2DA8 ebx:0
eax:AB2DE0 ebx:0
eax:AB2E18 ebx:0
eax:AB2E40 ebx:0
eax:AB2E68 ebx:0
eax:AB2EB0 ebx:0
eax:AB2ED8 ebx:0
eax:AB23A0 ebx:7FFDC000
eax:AB2478 ebx:0
eax:AB2490 ebx:0
eax:AB24A8 ebx:12FD21
eax:AB24F0 ebx:12FD21
eax:AB3708 ebx:4E1400
eax:AB2508 ebx:45E48B
eax:AB2560 ebx:11
eax:AB25B8 ebx201D4
eax:AB2640 ebx:12FE8C
eax:AB4B20 ebx:0
eax:AB26A8 ebx:45E48B
eax:AB4D18 ebx:4E1698
eax:AB2700 ebx:7
eax:AB2728 ebx:AB4D1C
eax:AB4F30 ebx:64
eax:AB2770 ebx:11
eax:AB4FB8 ebx:64
eax:AB5040 ebx:6E
eax:AB5118 ebx:78
eax:AB51F0 ebx:82
eax:AB5318 ebx:45E48B
eax:AB5370 ebx:11
eax:AB53C8 ebx:0
eax:AB5370 ebx:11
eax:AB53C8 ebx:408DC0
eax:AB5370 ebx:11
eax:AB53C8 ebx:408DC0
eax:AB5450 ebx:8C
eax:AB5370 ebx:11
eax:AB53C8 ebx:0
eax:AB5370 ebx:11
eax:AB53C8 ebx:408DC0
eax:AB5370 ebx:11
eax:AB53C8 ebx:408DC0
eax:AB53C8 ebx:96
eax:AB5578 ebx:A0
eax:AB5650 ebx:AA
eax:AB5370 ebx:11
eax:AB5708 ebx:AB4B20
eax:AB5790 ebx:4E16C0
eax:AB5BA8 ebx:7
eax:AB5BD0 ebx:AB5794
eax:AB5370 ebx:11
eax:AB5708 ebx:408C50
eax:AB5370 ebx:11
eax:AB5708 ebx:408C50
eax:AB5370 ebx:11
eax:AB5708 ebx:40B340
eax:AB5370 ebx:11
eax:AB5708 ebx:40B340
eax:AB5C18 ebx:156A60
eax:AB5BA8 ebx:7
eax:AB5BD0 ebx:AB5794
eax:AB5370 ebx:11
eax:AB5708 ebx:AB4B20
eax:AB5370 ebx:11
eax:AB5708 ebx:408C50
eax:AB5370 ebx:11
eax:AB5708 ebx:408C50
eax:AB5370 ebx:11
eax:AB5708 ebx:40B340
eax:AB2700 ebx:7
eax:AB2728 ebx:AB4D1C
eax:AB5370 ebx:11
eax:AB5708 ebx:40B340
eax:AB5370 ebx:11
eax:AB5708 ebx:AB4B20
eax:AB5BA8 ebx:7
eax:AB5BD0 ebx:AB57B4
eax:AB5370 ebx:11
eax:AB5708 ebx:408C50
eax:AB5370 ebx:11
eax:AB5708 ebx:408C50
eax:AB5370 ebx:11
eax:AB5708 ebx:40B340
eax:AB2700 ebx:7
eax:AB2728 ebx:AB4D1C
eax:AB5370 ebx:11
eax:AB5708 ebx:40B340
2012-11-29 02:55
0
游客
登录 | 注册 方可回帖
返回
//