能力值:
(RANK:350 )
|
-
-
2 楼
第一个问题
你是说IAT吧?其大小获取方法之一:
http://bbs.pediy.com/showthread.php?s=&threadid=20366
第二个问题
“0>”表示还有一部分没显示出来,这句完整的是:
00401012 C705 4CAF6400 01000000 mov dword ptr [64AF4C], 1
方法都是大家摸索出来的,不同的人方法不同,这也没什么奇怪的。
|
能力值:
(RANK:50 )
|
-
-
3 楼
第2个问题还不是很懂
在004A7591处下硬件执行断点,F9运行到004A7591处,取消断点,得到[ebp-A30]=12cd70,把12cd4c的数据改为0,
再把
004A7664 25 FF000000 and eax,0FF ;从这里开始修改
004A7669 85C0 test eax,eax
004A766B 0F84 D5010000 je loginTJ2.004A7846
修改为
004A7664 FF05 70CD1200 inc dword ptr ds:[12CD70] ;004A7591处看到的12cd70
004A766A C705 842A4D00 0>mov dword ptr ds:[4D2A84],1 ;004A75A4处的4D2A80+4=4D2A84
004A7674 ^ E9 18FFFFFF jmp loginTJ2.004A7591 ;跳回004A7591
为什么在我改魔法转换的时候
改堆载的 数值 12cd70 改了后就不能编辑下一条了?应该也是对的啊?。。
|
能力值:
(RANK:50 )
|
-
-
4 楼
因此IAT范围:0x4062E4~0x406524 ,大小为0x406524-0x4062E4=0x240
这个玩意也不是很明白。。麻烦看雪老大了。。
|
能力值:
(RANK:350 )
|
-
-
5 楼
最初由 bestchao 发布 改堆载的 数值 12cd70 改了后就不能编辑下一条了?应该也是对的啊?。。 不明白你的意思。也不知你这段引用来自哪篇文章。
最初由 bestchao 发布 因此IAT范围:0x4062E4~0x406524 ,大小为0x406524-0x4062E4=0x240 这个玩意也不是很明白。。麻烦看雪老大了。。
自己实例操作一下肯定能明白。
|
能力值:
(RANK:50 )
|
-
-
6 楼
引用: 最初由 bestchao 发布
因此IAT范围:0x4062E4~0x406524 ,大小为0x406524-0x4062E4=0x240
这个玩意也不是很明白。。麻烦看雪老大了。。
自己实例操作一下肯定能明白。
我不明白的意识是
哪个0是什么意识?
后面的哪个0X230又是什么意识?,。
|
能力值:
(RANK:50 )
|
-
-
7 楼
怎么没人回答了 汗。。/
|
能力值:
( LV9,RANK:1250 )
|
-
-
8 楼
最初由 bestchao 发布 引用: 最初由 bestchao 发布 因此IAT范围:0x4062E4~0x406524 ,大小为0x406524-0x4062E4=0x240 这个玩意也不是很明白。。麻烦看雪老大了。。
........
[ebp-0A30],这个A30前面的0需要的,要不在OD里汇编不了,认为无效的地址,加个0它就知道是正数。
0x4062E4也大概是这个意思,也就是004062E4。
|
能力值:
(RANK:50 )
|
-
-
9 楼
谢谢楼上大哥
很详细 已经明白了
哎 想起一篇文章
XX大侠都是让你XX去看什么
不回答菜鸟问题
楼上的大哥才是大侠风范。。
|
能力值:
(RANK:350 )
|
-
-
10 楼
最初由 bestchao 发布
哎 想起一篇文章 XX大侠都是让你XX去看什么 不回答菜鸟问题 ........
我也不知说什么好,有些东西实在是基础的基础。
0x表示16进制,0x4062E4就是16进制表示的:4062E4
|
|
|