[原创]OllyDBG 入门系列（七）－汇编功能-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]OllyDBG 入门系列（七）－汇编功能

发表于: 2006-4-9 16:42 448111

[原创]OllyDBG 入门系列（七）－汇编功能

CCDebuger

2006-4-9 16:42

448111

查看主题内容

收藏・180

免费・8

支持

最新回复 (510) ◀ 1 2 3 4 5 6 7 8 9 10 ...21 ▶
johngsai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	johngsai 101 楼好东西,我得好好吸收!谢了~ 2006-4-21 14:46 0
keane 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	keane 102 楼谢谢斑竹写出这么好的文章,支持+学习! 2006-4-22 01:41 0
znl 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	znl 103 楼顶顶，学习... 2006-4-22 14:41 0
marcherfcb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	marcherfcb 104 楼 ?????按照楼主的#2号改法,我的怎么变成了英文版的了! 怪怪,请高手指点. 除了是英文外,一切正常. 可惜我权限不够,不然可以上传图片. 还有一个问题不懂,当我把字体LOGFONT 的 16 进制值 F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5 写入文件后,再用"PEiD 把搜索到的空间都给我们列出来了",怎么还是跟没改前一样???-----"00009815" 2006-4-22 20:49 0
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 105 楼那个语言文件 myuninst_lng.ini 是对应文件名的。假如你修改后保存为1.exe，你就要把那个中文语言文件复制一份改成 1_lng.ini 给1.exe用，否则它找不到语言文件就显示为默认的英文。 2006-4-22 21:05 1
marcherfcb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	marcherfcb 106 楼谢谢楼主,你在线呀! [QUOTE] 还有一个问题: ------------------------------------------------------------------ 第一个要改的地方： 00408F5E \|. FF15 98B24000 \|CALL DWORD PTR DS:[<&USER32.CreateWindowExA>] ; \CreateWindowExA 00408F64 6A 00 PUSH 0 ; 修改前 00408F66 8945 F4 MOV DWORD PTR SS:[EBP-C],EAX 00408F69 \|. E8 A098FFFF \|CALL <myuninst.sub_40280E> 修改后： 00408F5E \|. FF15 98B24000 \|CALL DWORD PTR DS:[<&USER32.CreateWindowExA>] ; \CreateWindowExA 00408F64 E9 D5140000 JMP myuninst.0040A43E ; 跳转到我们的补丁代码处 00408F69 \|. E8 A098FFFF \|CALL <myuninst.sub_40280E> ---------------------------------------------------------------------- 请问一下当前面有语句要跳到00408F66,那要怎么改呀? 比如:前面如果有一句 00405678 JMP myuninst.00408F66 2006-4-22 21:09 0
kingluo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	kingluo 107 楼谢谢,要好好学习 2006-4-23 13:02 0
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 108 楼最初由 marcherfcb* 发布* 还有一个问题: ------------------------------------------------------------------ 第一个要改的地方： ........ 请问一下当前面有语句要跳到00408F66,那要怎么改呀? 比如:前面如果有一句 00405678 JMP myuninst.00408F66 ........ 根据情况，如果对你补丁后的效果没有影响的话，不用管它。只要你的补丁代码能正确执行就行。 2006-4-23 14:07 0
小仙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 68 粉丝 0 关注私信	小仙 109 楼拜读，高手的第7篇 2006-4-24 13:02 0
小仙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 68 粉丝 0 关注私信	小仙 110 楼现在我们用 WinHEX 打开我们要修改的程序，转到偏移 9815 处，从 9815 处选择 32 字节（16进制是0X20）的一个选块，把光标定位到 9815 处，右键选择菜单剪贴板数据->写入(从当前位置覆写)，随后的格式选择 ASCII Hex，把我们 LOGFONT 的 16 进制值 F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5 这里写的数据，后面没有使用，请楼主或其它朋友指点一下 2006-4-24 16:33 0
蝌蚪雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	蝌蚪 111 楼写的太好了，强烈支持！ 2006-4-25 07:45 0
小仙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 68 粉丝 0 关注私信	小仙 112 楼提个问题，文中有这么一段 -------------------------------------------------------------------------------- "现在我们用 WinHEX 打开我们要修改的程序，转到偏移 9815 处，从 9815 处选择 32 字节（16进制是0X20）的一个选块，把光标定位到 9815 处，右键选择菜单剪贴板数据->写入(从当前位置覆写)，随后的格式选择 ASCII Hex，把我们 LOGFONT 的 16 进制值 F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5" 这里写的数据，后面程序中好像没有使用过，请楼主或其它朋友指点一下，程序在哪一段使用了这些数据 2006-4-25 11:13 0
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 113 楼最初由小仙发布提个问题，文中有这么一段 -------------------------------------------------------------------------------- "现在我们用 WinHEX 打开我们要修改的程序，转到偏移 9815 处，从 9815 处选择 32 字节（16进制是0X20）的一个选块，把光标定位到 9815 处，右键选择菜单剪贴板数据->写入(从当前位置覆写)，随后的格式选择 ASCII Hex，把我们 LOGFONT 的 16 进制值 F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5" ........ 0040A444 68 15A44000 PUSH myuninst.0040A415 ; 传递字体句柄LOGFONT 2006-4-25 12:05 0
小仙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 68 粉丝 0 关注私信	小仙 114 楼明白了，多谢，老大真是篇篇精典啊！ 2006-4-25 15:03 0
4nil 雪币： 313 活跃值： (440) 能力值： ( LV12，RANK：530 ) 在线值：发帖 45 回帖 631 粉丝 2 关注私信	4nil 13 115 楼精彩啊,支持 2006-4-25 15:18 0
marcherfcb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	marcherfcb 116 楼还有一个问题不懂,当我把字体LOGFONT 的 16 进制值 F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5 写入文件后,再用"PEiD 把搜索到的空间都给我们列出来了",怎么还是跟没改前一样???-----"00009815"(启始0地址) 2006-4-25 21:12 0
jsboy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	jsboy 117 楼新手呀。看好几遍还是有不懂的地方。主要是CCDebuger净用些术语（当然是不是专业术语我不知道，但都是些老鸟用惯了的。）。 2006-4-30 23:28 0
zhoro 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	zhoro 118 楼好文章啊！！！！ 2006-5-1 11:04 0
花尽尘香雪币： 436 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 99 粉丝 0 关注私信	花尽尘香 119 楼 ?於我?呃些菜??在只有一??的支持於佩服外?有什?好真的了！！不咿呃肺?西是?得越多自己就越明白其中的道理的！看?在呃?道上的路?我?菜??真?很樘！ 2006-5-1 13:24 0
lis 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	lis 120 楼很好很好。。。谢谢 2006-5-1 18:01 0
alphabet 雪币： 207 活跃值： (84) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 58 粉丝 0 关注私信	alphabet 1 121 楼请教: 我在写补丁代码的时候 0040A444 68 15A44000 PUSH myuninst.0040A415 ; 传递字体句柄LOGFONT 双击开始汇编的时候不能改上面显示说"需要标签" 不知道大家遇到过没有? 2006-5-1 22:35 0
houhq 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	houhq 1 122 楼看来我赶上好时候了，这篇高深，慢慢理解。 2006-5-3 01:09 0
死亡骑士雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	死亡骑士 123 楼谢过搂主！继续学习中…… 2006-5-3 06:57 0
火影雪币： 332 活跃值： (30) 能力值： ( LV12，RANK：460 ) 在线值：发帖 24 回帖 141 粉丝 1 关注私信	火影 11 124 楼还是不是人脑啊 2006-5-3 10:35 0
ToJammy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 29 粉丝 0 关注私信	ToJammy 125 楼我的没有在 00409DDB \|. FF7424 08 PUSH DWORD PTR SS:[ESP+8] ; /pLogfont 00409DDF \|. FF15 44B04000 CALL DWORD PTR DS:[<&GDI32.CreateFontIndirectA>] ; \CreateFontIndirectA 这个位置断下原来,打包成chm的兄弟,弄错了CCDebugger兄的大作我们今天的目标就是利用 OllyDBG 的汇编功能把上面显示的字体改成我们常见的9号（小五）宋体。首先我们用 OllyDBG 载入程序，按 CTR+N 组合键查找一下有哪些 API 函数，只发现一个和设置字体相关的 CreateFontIndirectA。现在我们在命令行中设个断点：bp CreateFontIndirectA，F9运行，断下后我们按ALT+F9返回会来到这个地方： //////////////////!!!!!!!!没有这一段吧?? 00409DDB \|. FF7424 08 PUSH DWORD PTR SS:[ESP+8] ; /pLogfont 00409DDF \|. FF15 44B04000 CALL DWORD PTR DS:[<&GDI32.CreateFontIndirectA>] ; \CreateFontIndirectA 2006-5-3 15:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

CCDebuger

390

发帖

1843

回帖

990

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (510) ◀ 1 2 3 4 5 6 7 8 9 10 ...21 ▶
johngsai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	johngsai 101 楼好东西,我得好好吸收!谢了~ 2006-4-21 14:46 0
keane 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	keane 102 楼谢谢斑竹写出这么好的文章,支持+学习! 2006-4-22 01:41 0
znl 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	znl 103 楼顶顶，学习... 2006-4-22 14:41 0
marcherfcb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	marcherfcb 104 楼 ?????按照楼主的#2号改法,我的怎么变成了英文版的了! 怪怪,请高手指点. 除了是英文外,一切正常. 可惜我权限不够,不然可以上传图片. 还有一个问题不懂,当我把字体LOGFONT 的 16 进制值 F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5 写入文件后,再用"PEiD 把搜索到的空间都给我们列出来了",怎么还是跟没改前一样???-----"00009815" 2006-4-22 20:49 0
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 105 楼那个语言文件 myuninst_lng.ini 是对应文件名的。假如你修改后保存为1.exe，你就要把那个中文语言文件复制一份改成 1_lng.ini 给1.exe用，否则它找不到语言文件就显示为默认的英文。 2006-4-22 21:05 1
marcherfcb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	marcherfcb 106 楼谢谢楼主,你在线呀! [QUOTE] 还有一个问题: ------------------------------------------------------------------ 第一个要改的地方： 00408F5E \|. FF15 98B24000 \|CALL DWORD PTR DS:[<&USER32.CreateWindowExA>] ; \CreateWindowExA 00408F64 6A 00 PUSH 0 ; 修改前 00408F66 8945 F4 MOV DWORD PTR SS:[EBP-C],EAX 00408F69 \|. E8 A098FFFF \|CALL <myuninst.sub_40280E> 修改后： 00408F5E \|. FF15 98B24000 \|CALL DWORD PTR DS:[<&USER32.CreateWindowExA>] ; \CreateWindowExA 00408F64 E9 D5140000 JMP myuninst.0040A43E ; 跳转到我们的补丁代码处 00408F69 \|. E8 A098FFFF \|CALL <myuninst.sub_40280E> ---------------------------------------------------------------------- 请问一下当前面有语句要跳到00408F66,那要怎么改呀? 比如:前面如果有一句 00405678 JMP myuninst.00408F66 2006-4-22 21:09 0
kingluo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	kingluo 107 楼谢谢,要好好学习 2006-4-23 13:02 0
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 108 楼最初由 marcherfcb* 发布* 还有一个问题: ------------------------------------------------------------------ 第一个要改的地方： ........ 请问一下当前面有语句要跳到00408F66,那要怎么改呀? 比如:前面如果有一句 00405678 JMP myuninst.00408F66 ........ 根据情况，如果对你补丁后的效果没有影响的话，不用管它。只要你的补丁代码能正确执行就行。 2006-4-23 14:07 0
小仙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 68 粉丝 0 关注私信	小仙 109 楼拜读，高手的第7篇 2006-4-24 13:02 0
小仙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 68 粉丝 0 关注私信	小仙 110 楼现在我们用 WinHEX 打开我们要修改的程序，转到偏移 9815 处，从 9815 处选择 32 字节（16进制是0X20）的一个选块，把光标定位到 9815 处，右键选择菜单剪贴板数据->写入(从当前位置覆写)，随后的格式选择 ASCII Hex，把我们 LOGFONT 的 16 进制值 F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5 这里写的数据，后面没有使用，请楼主或其它朋友指点一下 2006-4-24 16:33 0
蝌蚪雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	蝌蚪 111 楼写的太好了，强烈支持！ 2006-4-25 07:45 0
小仙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 68 粉丝 0 关注私信	小仙 112 楼提个问题，文中有这么一段 -------------------------------------------------------------------------------- "现在我们用 WinHEX 打开我们要修改的程序，转到偏移 9815 处，从 9815 处选择 32 字节（16进制是0X20）的一个选块，把光标定位到 9815 处，右键选择菜单剪贴板数据->写入(从当前位置覆写)，随后的格式选择 ASCII Hex，把我们 LOGFONT 的 16 进制值 F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5" 这里写的数据，后面程序中好像没有使用过，请楼主或其它朋友指点一下，程序在哪一段使用了这些数据 2006-4-25 11:13 0
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 113 楼最初由小仙发布提个问题，文中有这么一段 -------------------------------------------------------------------------------- "现在我们用 WinHEX 打开我们要修改的程序，转到偏移 9815 处，从 9815 处选择 32 字节（16进制是0X20）的一个选块，把光标定位到 9815 处，右键选择菜单剪贴板数据->写入(从当前位置覆写)，随后的格式选择 ASCII Hex，把我们 LOGFONT 的 16 进制值 F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5" ........ 0040A444 68 15A44000 PUSH myuninst.0040A415 ; 传递字体句柄LOGFONT 2006-4-25 12:05 0
小仙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 68 粉丝 0 关注私信	小仙 114 楼明白了，多谢，老大真是篇篇精典啊！ 2006-4-25 15:03 0
4nil 雪币： 313 活跃值： (440) 能力值： ( LV12，RANK：530 ) 在线值：发帖 45 回帖 631 粉丝 2 关注私信	4nil 13 115 楼精彩啊,支持 2006-4-25 15:18 0
marcherfcb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	marcherfcb 116 楼还有一个问题不懂,当我把字体LOGFONT 的 16 进制值 F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5 写入文件后,再用"PEiD 把搜索到的空间都给我们列出来了",怎么还是跟没改前一样???-----"00009815"(启始0地址) 2006-4-25 21:12 0
jsboy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	jsboy 117 楼新手呀。看好几遍还是有不懂的地方。主要是CCDebuger净用些术语（当然是不是专业术语我不知道，但都是些老鸟用惯了的。）。 2006-4-30 23:28 0
zhoro 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	zhoro 118 楼好文章啊！！！！ 2006-5-1 11:04 0
花尽尘香雪币： 436 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 99 粉丝 0 关注私信	花尽尘香 119 楼 ?於我?呃些菜??在只有一??的支持於佩服外?有什?好真的了！！不咿呃肺?西是?得越多自己就越明白其中的道理的！看?在呃?道上的路?我?菜??真?很樘！ 2006-5-1 13:24 0
lis 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	lis 120 楼很好很好。。。谢谢 2006-5-1 18:01 0
alphabet 雪币： 207 活跃值： (84) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 58 粉丝 0 关注私信	alphabet 1 121 楼请教: 我在写补丁代码的时候 0040A444 68 15A44000 PUSH myuninst.0040A415 ; 传递字体句柄LOGFONT 双击开始汇编的时候不能改上面显示说"需要标签" 不知道大家遇到过没有? 2006-5-1 22:35 0
houhq 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	houhq 1 122 楼看来我赶上好时候了，这篇高深，慢慢理解。 2006-5-3 01:09 0
死亡骑士雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	死亡骑士 123 楼谢过搂主！继续学习中…… 2006-5-3 06:57 0
火影雪币： 332 活跃值： (30) 能力值： ( LV12，RANK：460 ) 在线值：发帖 24 回帖 141 粉丝 1 关注私信	火影 11 124 楼还是不是人脑啊 2006-5-3 10:35 0
ToJammy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 29 粉丝 0 关注私信	ToJammy 125 楼我的没有在 00409DDB \|. FF7424 08 PUSH DWORD PTR SS:[ESP+8] ; /pLogfont 00409DDF \|. FF15 44B04000 CALL DWORD PTR DS:[<&GDI32.CreateFontIndirectA>] ; \CreateFontIndirectA 这个位置断下原来,打包成chm的兄弟,弄错了CCDebugger兄的大作我们今天的目标就是利用 OllyDBG 的汇编功能把上面显示的字体改成我们常见的9号（小五）宋体。首先我们用 OllyDBG 载入程序，按 CTR+N 组合键查找一下有哪些 API 函数，只发现一个和设置字体相关的 CreateFontIndirectA。现在我们在命令行中设个断点：bp CreateFontIndirectA，F9运行，断下后我们按ALT+F9返回会来到这个地方： //////////////////!!!!!!!!没有这一段吧?? 00409DDB \|. FF7424 08 PUSH DWORD PTR SS:[ESP+8] ; /pLogfont 00409DDF \|. FF15 44B04000 CALL DWORD PTR DS:[<&GDI32.CreateFontIndirectA>] ; \CreateFontIndirectA 2006-5-3 15:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复