-
-
[求助]求助修改内存基址的问题!
-
发表于: 2013-1-16 14:44
-
文件脱壳后
104B75C8 > $ 55 push ebp
104B75C9 . 8BEC mov ebp, esp
104B75CB . 83C4 B8 add esp, -0x48
104B75CE . 33C0 xor eax, eax
104B75D0 . 8945 B8 mov dword ptr [ebp-0x48], eax
104B75D3 . 8945 C0 mov dword ptr [ebp-0x40], eax
104B75D6 . 8945 BC mov dword ptr [ebp-0x44], eax
104B75D9 . B8 A0729200 mov eax, 0x9272A0 这里?
104B75DE . E8 C5EDF4FF call 104063A8
104B75E3 . 33C0 xor eax, eax
104B75E5 . 55 push ebp
104B75E6 . 68 BA779200 push 0x9277BA 这里 ?
104B75EB . 64:FF30 push dword ptr fs:[eax]
104B75EE . 64:8920 mov dword ptr fs:[eax], esp
104B75F1 .- E9 0B8E0E00 jmp 105A0401
本来基址是400000 但我修改基址位 10400000
程序启动后 有很多类似上面红色标注的地址 还是原来 基址位400000 时的地址,应该是脱壳时固定了地址, 我的问题是,现在有没办法,写脚本也成 ,命令也成,怎么能把这个程序 所有这些固定了地址的地方 快速找出来, 或者批量修改。
请教看雪的各位老师,谢谢啦!
104B75C8 > $ 55 push ebp
104B75C9 . 8BEC mov ebp, esp
104B75CB . 83C4 B8 add esp, -0x48
104B75CE . 33C0 xor eax, eax
104B75D0 . 8945 B8 mov dword ptr [ebp-0x48], eax
104B75D3 . 8945 C0 mov dword ptr [ebp-0x40], eax
104B75D6 . 8945 BC mov dword ptr [ebp-0x44], eax
104B75D9 . B8 A0729200 mov eax, 0x9272A0 这里?
104B75DE . E8 C5EDF4FF call 104063A8
104B75E3 . 33C0 xor eax, eax
104B75E5 . 55 push ebp
104B75E6 . 68 BA779200 push 0x9277BA 这里 ?
104B75EB . 64:FF30 push dword ptr fs:[eax]
104B75EE . 64:8920 mov dword ptr fs:[eax], esp
104B75F1 .- E9 0B8E0E00 jmp 105A0401
本来基址是400000 但我修改基址位 10400000
程序启动后 有很多类似上面红色标注的地址 还是原来 基址位400000 时的地址,应该是脱壳时固定了地址, 我的问题是,现在有没办法,写脚本也成 ,命令也成,怎么能把这个程序 所有这些固定了地址的地方 快速找出来, 或者批量修改。
请教看雪的各位老师,谢谢啦!
