首页
社区
课程
招聘
[旧帖] [原创]奇怪的push 0 0.00雪花
发表于: 2006-9-28 16:49 5591

[旧帖] [原创]奇怪的push 0 0.00雪花

2006-9-28 16:49
5591
今天在修改代码的时候遇到一个问题
131C57B8
push  0  修改为多少才不会破坏代码?而且能保证字节数为2。。。?            

代码如下

131C57A4  /$  51            push    ecx
131C57A5  |.  83E8 01       sub     eax, 1                           
131C57A8  |.  72 1F         jb      short 131C57C9
131C57AA  |.  75 54         jnz     short 131C5800
131C57AC  |.  54            push    esp                             
131C57AD  |.  6A 00         push    0                                
131C57AF  |.  6A 00         push    0                                
131C57B1  |.  68 60571C13   push    131C5760                        
131C57B6  |.  6A 00         push    0                                
131C57B8      6A 00         push    0  ==此处的push  0修改为多少才不会破坏代码?而且能保证字节数为2。。。?                              
131C57BA  |.  E8 BD15F8FF   call    <jmp.&kernel32.CreateThread>   
131C57BF  |.  8B15 447F1C13 mov     edx, dword ptr [131C7F44]        
131C57C5  |.  8902          mov     dword ptr [edx], eax
131C57C7  |.  5A            pop     edx
131C57C8  |.  C3            retn
131C57C9  |>  B8 30B01C13   mov     eax, 131CB030                  
131C57CE  |.  BA 18000000   mov     edx, 18
131C57D3  |.  E8 D020F8FF   call    131478A8
131C57D8  |.  A1 447F1C13   mov     eax, dword ptr [131C7F44]
131C57DD  |.  8338 00       cmp     dword ptr [eax], 0
131C57E0  |.  74 1E         je      short 131C5800
131C57E2  |.  B8 30B01C13   mov     eax, 131CB030
131C57E7  |.  BA 18000000   mov     edx, 18
131C57EC  |.  E8 B720F8FF   call    131478A8
131C57F1  |.  6A 00         push    0                              
131C57F3  |.  A1 447F1C13   mov     eax, dword ptr [131C7F44]        
131C57F8  |.  8B00          mov     eax, dword ptr [eax]            
131C57FA  |.  50            push    eax                             
131C57FB  |.  E8 A418F8FF   call    <jmp.&kernel32.TerminateThread>
131C5800  |>  5A            pop     edx                             
131C5801  \.  C3            retn

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 433
活跃值: (176)
能力值: ( LV13,RANK:1250 )
在线值:
发帖
回帖
粉丝
2
1.6A后面跟00到FF的任意组合都行,但这个字节是有符号数,6A 7F会被解释成push 127,6A 80就是push -128了,所以实际表示的立即数是在-128到127之间。

2.改CreateThread的那个参数有什么用?那只不过是个指针,你改的话只能在-128到127之间,数值在这个范围的指针值除了NULL以外全部都是无效的,不改还好,改了肯定出错。
2006-9-28 18:39
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
说的太好了



那有没有办法把push 改个别的标识符?
2006-9-28 20:53
0
游客
登录 | 注册 方可回帖
返回
//