[原创]OllyDBG 入门系列（七）－汇编功能-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]OllyDBG 入门系列（七）－汇编功能

发表于: 2006-4-9 16:42 448111

[原创]OllyDBG 入门系列（七）－汇编功能

CCDebuger

2006-4-9 16:42

448111

查看主题内容

收藏・180

免费・8

支持

最新回复 (510) ◀ 1 ... 3 4 5 6 7 8 9 10 11 12 13 ...21 ▶
tosee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	tosee 176 楼永远支持.. 喜欢你的文章 2006-8-27 09:02 0
剑次狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 45 粉丝 0 关注私信	剑次狼 177 楼图文并貌,太谢谢了~~先收藏 2006-8-27 14:07 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 178 楼能否做个CHM? 2006-8-27 21:21 0
老鱼雪币： 189 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	老鱼 1 179 楼写代码，首先我们要在程序中建一个标准9号宋体的 LOGFONT，以便于我们调用。对于 LOGFONT，我们再来看一下定义： typedef struct tagLOGFONT { // lf LONG lfHeight; LONG lfWidth; LONG lfEscapement; LONG lfOrientation; LONG lfWeight; BYTE lfItalic; BYTE lfUnderline; BYTE lfStrikeOut; BYTE lfCharSet; BYTE lfOutPrecision; BYTE lfClipPrecision; BYTE lfQuality; BYTE lfPitchAndFamily; TCHAR lfFaceName[LF_FACESIZE]; } LOGFONT; 这样我们的标准9号宋体的 LOGFONT 值应该是32字节，16进制就像这样：F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5。 sizeof(tagLOGFONT)等于60,为什么标准9号宋体的 LOGFONT 值应该是不是60字节而是32字节呢? 还有后面的这个F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5是怎么推算出来的? 2006-8-29 11:12 0
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 180 楼看上面的结构。汇编里面的其他类型都是DWORD，每个LONG和那个TCHAR是四个字节，各个BYTE是一个字节，你加一下就知道是32个字节了。而 F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5 这个你对应上面的LOGFONT结构及各个参数对应的字节数对照一下就明白了，如F4FFFFFF就是对应 LONG lfHeight，其余类推。最后的那个CBCECCE5是“宋体”的ASCII码。 2006-8-29 12:10 0
playboyjoe 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	playboyjoe 181 楼我怎么改成英文了啊？ 2006-8-30 10:58 0
playboyjoe 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	playboyjoe 182 楼看到了，要修改相应的语言文件 2006-8-30 13:47 0
jerryme 雪币： 3149 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 205 粉丝 0 关注私信	jerryme 183 楼最初由 alphabet* 发布* 请教: 我在写补丁代码的时候 0040A444 68 15A44000 PUSH myuninst.0040A415 ; 传递字体句柄LOGFONT 双击开始汇编的时候不能改上面显示说"需要标签" ........ 这样写就行了 PUSH 0040A415 2006-9-7 10:25 0
mxt72 雪币： 222 活跃值： (388) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	mxt72 184 楼 “如果你对 PE 结构比较熟悉的话，也可以直接用 16进制编辑工具来添加你需要的函数，这样改出来的东西好看。如果想偷懒，就像我一样用工具吧，” 正在学习打补丁，就碰到过要导入函数，但又不想增加一个节（主要是不想改变原文件大小），建议楼主有空就此给我等新手来个专题，谢谢先了 2006-10-2 13:11 0
龙行云雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	龙行云 185 楼首先，要感谢ccdebug得精彩文章，受教了然后就是，我按照步骤修改了，结果弹出来得窗口标签得地方统统变成英文了，这是什么原因？ XP SP2系统！ 2006-10-2 21:28 0
龙行云雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	龙行云 186 楼最初由 bistoury* 发布* 今天啃了一天，终于理解并完成了，不过我是把窗口句柄保存在.data区段，这样就不用把.rdata改成可写属性了（我觉得这样相对安全些，:)），因为.data区段默认就是可读些的！我想LZ的目的不在于要特定用哪个区段，而是增加一个更改区段属性的例子教学。 2006-10-2 21:31 0
龙行云雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	龙行云 187 楼最初由龙行云* 发布* 首先，要感谢ccdebug得精彩文章，受教了然后就是，我按照步骤修改了，结果弹出来得窗口标签得地方统统变成英文了，这是什么原因？ XP SP2系统！原因找到了，如果你把改过的程序命名跟myuninst_lng.ini文件不一致，就会出现默认的英文弹出窗口。 2006-10-2 21:34 0
wpsey 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	wpsey 188 楼新手需要，这样的帖子一定要顶。 2006-10-2 23:24 0
domin 雪币： 207 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	domin 1 189 楼现在我们用 WinHEX 打开我们要修改的程序，转到偏移 9815 处，从 9815 处选择 32 字节（16进制是0X20）的一个选块，把光标定位到 9815 处，右键选择菜单剪贴板数据->写入(从当前位置覆写)，随后的格式选择 ASCII Hex，把我们 LOGFONT 的 16 进制值 F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5 我们已经在9815改了数据，为什么Peid搜索全0显示还是跟修改前一样？换句话说。如果一个pe文件已经被人改过了，那么后来再改的人怎么知道哪些地方已经被前人用了？ 2006-10-12 10:47 0
yusjoel 雪币： 215 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	yusjoel 2 190 楼看完之后很有收获。还是觉得把变量放在代码段不是很好的做法。关于LOGFONT的结构虽然给出了，但是赋的值却是特例。最好说明一lfHeight<0的情况。还有lfFaceName是要\0结尾的。说它32字节总觉得不妥。虽说照着本文做不会出现什么问题，因为留空格了。但万一我想节约一下空间呢。照着这篇文章，顺利地把FileMon的MS Sans Serif字体给改掉了。原来的字太小。。 2006-11-9 11:02 0
longhorn 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 68 粉丝 0 关注私信	longhorn 191 楼好文章，支持！ 2006-11-11 08:36 0
lxch 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	lxch 192 楼我这样的新手就是需要这样的科普教程。 2006-11-23 21:22 0
易leww 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	易leww 1 193 楼一点小细节：将myuninst1.exe保存文件为myuninst1.exe后,myuninst_lng.ini好像也要对应改为myuninst1_lng.ini,否则不能显示为文中所示的汉化界面。回复了之后才知道前面已经有了类似帖子了，不好意思!不过，虽说犯了错误，但顶的是这样的一个好帖老大可不要太怨我哟。。 2007-3-8 20:11 0
胡一刀雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	胡一刀 194 楼花了一天多时间照抄了一回,有好多东东不明白~~~~~~~~ 2007-4-5 17:10 0
walkier 雪币： 237 活跃值： (33) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 22 粉丝 1 关注私信	walkier 195 楼支持。高手风范。 2007-4-12 09:22 0
刀剑如梦雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 42 粉丝 0 关注私信	刀剑如梦 196 楼 Sehr Gut 2007-4-12 17:46 0
kevinzou 雪币： 195 活跃值： (99) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 81 粉丝 0 关注私信	kevinzou 197 楼 CCDebuger出品，必是精品。 CCDebuger，我的偶像啊 2007-4-12 19:07 0
jsjcjsjc 雪币： 178 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 70 粉丝 0 关注私信	jsjcjsjc 198 楼来学习学习啊 2007-4-13 17:21 0
光影雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	光影 199 楼支持～～～学习学习～～～ 2007-4-14 12:00 0
光影雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	光影 200 楼有点难度～～～看不懂……………… 2007-4-14 12:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

CCDebuger

390

发帖

1843

回帖

990

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (510) ◀ 1 ... 3 4 5 6 7 8 9 10 11 12 13 ...21 ▶
tosee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	tosee 176 楼永远支持.. 喜欢你的文章 2006-8-27 09:02 0
剑次狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 45 粉丝 0 关注私信	剑次狼 177 楼图文并貌,太谢谢了~~先收藏 2006-8-27 14:07 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 178 楼能否做个CHM? 2006-8-27 21:21 0
老鱼雪币： 189 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	老鱼 1 179 楼写代码，首先我们要在程序中建一个标准9号宋体的 LOGFONT，以便于我们调用。对于 LOGFONT，我们再来看一下定义： typedef struct tagLOGFONT { // lf LONG lfHeight; LONG lfWidth; LONG lfEscapement; LONG lfOrientation; LONG lfWeight; BYTE lfItalic; BYTE lfUnderline; BYTE lfStrikeOut; BYTE lfCharSet; BYTE lfOutPrecision; BYTE lfClipPrecision; BYTE lfQuality; BYTE lfPitchAndFamily; TCHAR lfFaceName[LF_FACESIZE]; } LOGFONT; 这样我们的标准9号宋体的 LOGFONT 值应该是32字节，16进制就像这样：F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5。 sizeof(tagLOGFONT)等于60,为什么标准9号宋体的 LOGFONT 值应该是不是60字节而是32字节呢? 还有后面的这个F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5是怎么推算出来的? 2006-8-29 11:12 0
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 180 楼看上面的结构。汇编里面的其他类型都是DWORD，每个LONG和那个TCHAR是四个字节，各个BYTE是一个字节，你加一下就知道是32个字节了。而 F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5 这个你对应上面的LOGFONT结构及各个参数对应的字节数对照一下就明白了，如F4FFFFFF就是对应 LONG lfHeight，其余类推。最后的那个CBCECCE5是“宋体”的ASCII码。 2006-8-29 12:10 0
playboyjoe 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	playboyjoe 181 楼我怎么改成英文了啊？ 2006-8-30 10:58 0
playboyjoe 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	playboyjoe 182 楼看到了，要修改相应的语言文件 2006-8-30 13:47 0
jerryme 雪币： 3149 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 205 粉丝 0 关注私信	jerryme 183 楼最初由 alphabet* 发布* 请教: 我在写补丁代码的时候 0040A444 68 15A44000 PUSH myuninst.0040A415 ; 传递字体句柄LOGFONT 双击开始汇编的时候不能改上面显示说"需要标签" ........ 这样写就行了 PUSH 0040A415 2006-9-7 10:25 0
mxt72 雪币： 222 活跃值： (388) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	mxt72 184 楼 “如果你对 PE 结构比较熟悉的话，也可以直接用 16进制编辑工具来添加你需要的函数，这样改出来的东西好看。如果想偷懒，就像我一样用工具吧，” 正在学习打补丁，就碰到过要导入函数，但又不想增加一个节（主要是不想改变原文件大小），建议楼主有空就此给我等新手来个专题，谢谢先了 2006-10-2 13:11 0
龙行云雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	龙行云 185 楼首先，要感谢ccdebug得精彩文章，受教了然后就是，我按照步骤修改了，结果弹出来得窗口标签得地方统统变成英文了，这是什么原因？ XP SP2系统！ 2006-10-2 21:28 0
龙行云雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	龙行云 186 楼最初由 bistoury* 发布* 今天啃了一天，终于理解并完成了，不过我是把窗口句柄保存在.data区段，这样就不用把.rdata改成可写属性了（我觉得这样相对安全些，:)），因为.data区段默认就是可读些的！我想LZ的目的不在于要特定用哪个区段，而是增加一个更改区段属性的例子教学。 2006-10-2 21:31 0
龙行云雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	龙行云 187 楼最初由龙行云* 发布* 首先，要感谢ccdebug得精彩文章，受教了然后就是，我按照步骤修改了，结果弹出来得窗口标签得地方统统变成英文了，这是什么原因？ XP SP2系统！原因找到了，如果你把改过的程序命名跟myuninst_lng.ini文件不一致，就会出现默认的英文弹出窗口。 2006-10-2 21:34 0
wpsey 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	wpsey 188 楼新手需要，这样的帖子一定要顶。 2006-10-2 23:24 0
domin 雪币： 207 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	domin 1 189 楼现在我们用 WinHEX 打开我们要修改的程序，转到偏移 9815 处，从 9815 处选择 32 字节（16进制是0X20）的一个选块，把光标定位到 9815 处，右键选择菜单剪贴板数据->写入(从当前位置覆写)，随后的格式选择 ASCII Hex，把我们 LOGFONT 的 16 进制值 F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5 我们已经在9815改了数据，为什么Peid搜索全0显示还是跟修改前一样？换句话说。如果一个pe文件已经被人改过了，那么后来再改的人怎么知道哪些地方已经被前人用了？ 2006-10-12 10:47 0
yusjoel 雪币： 215 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	yusjoel 2 190 楼看完之后很有收获。还是觉得把变量放在代码段不是很好的做法。关于LOGFONT的结构虽然给出了，但是赋的值却是特例。最好说明一lfHeight<0的情况。还有lfFaceName是要\0结尾的。说它32字节总觉得不妥。虽说照着本文做不会出现什么问题，因为留空格了。但万一我想节约一下空间呢。照着这篇文章，顺利地把FileMon的MS Sans Serif字体给改掉了。原来的字太小。。 2006-11-9 11:02 0
longhorn 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 68 粉丝 0 关注私信	longhorn 191 楼好文章，支持！ 2006-11-11 08:36 0
lxch 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	lxch 192 楼我这样的新手就是需要这样的科普教程。 2006-11-23 21:22 0
易leww 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	易leww 1 193 楼一点小细节：将myuninst1.exe保存文件为myuninst1.exe后,myuninst_lng.ini好像也要对应改为myuninst1_lng.ini,否则不能显示为文中所示的汉化界面。回复了之后才知道前面已经有了类似帖子了，不好意思!不过，虽说犯了错误，但顶的是这样的一个好帖老大可不要太怨我哟。。 2007-3-8 20:11 0
胡一刀雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	胡一刀 194 楼花了一天多时间照抄了一回,有好多东东不明白~~~~~~~~ 2007-4-5 17:10 0
walkier 雪币： 237 活跃值： (33) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 22 粉丝 1 关注私信	walkier 195 楼支持。高手风范。 2007-4-12 09:22 0
刀剑如梦雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 42 粉丝 0 关注私信	刀剑如梦 196 楼 Sehr Gut 2007-4-12 17:46 0
kevinzou 雪币： 195 活跃值： (99) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 81 粉丝 0 关注私信	kevinzou 197 楼 CCDebuger出品，必是精品。 CCDebuger，我的偶像啊 2007-4-12 19:07 0
jsjcjsjc 雪币： 178 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 70 粉丝 0 关注私信	jsjcjsjc 198 楼来学习学习啊 2007-4-13 17:21 0
光影雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	光影 199 楼支持～～～学习学习～～～ 2007-4-14 12:00 0
光影雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	光影 200 楼有点难度～～～看不懂……………… 2007-4-14 12:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复