[求助]INT3 断点是不是不能随便下的-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]INT3 断点是不是不能随便下的

发表于: 2007-10-3 19:05 6185

[求助]INT3 断点是不是不能随便下的

wangxlxk

2007-10-3 19:05

6185

今天学习win32 Debug Api
WriteProcessMemory
在改写被调试进程里的数据是就是写0xCC INT3 断点
/*4012BA*/  MOV DWORD PTR SS:[EBP-4],1.00403000
/*4012C1*/  MOV DWORD PTR SS:[ESP],1.0040300A
/*4012C8*/  CALL <JMP.&msvcrt.printf>
/*4012CD*/  MOV EAX,DWORD PTR SS:[EBP-4]
/*4012D0*/  MOV DWORD PTR SS:[ESP],EAX
/*4012D3*/  CALL 1.004012EB
/*4012D8*/  MOV DWORD PTR SS:[ESP],1.0040300E
/*4012DF*/  CALL <JMP.&msvcrt.system>
----------------------------------------------------------------
只能改写上写这些地址
比如可以改写4012BA 但不能改写4012BB 因为要是改写后进程会不断的出现异常
改写4012BB 后面的代码会变的不一样本来是MOV 变成 ADD 了
要是我偏要在4012BB 下断点要怎么写代码

[课程]Linux pwn 探索篇！

#其他内容

收藏・1

免费・0

支持

最新回复 (2)
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 2 楼 int 3断点只能修改在指令的第一个字节上，不能修改指令的后面字节，不然，你这样修改就会破解指令的功能。和CPU的走向。所以，如果你的4012BB是指令的第二个字节后面的就不能在这个地方下断点了。 2007-10-3 19:50 0
wangxlxk 雪币： 214 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 127 粉丝 0 关注私信	wangxlxk 3 楼谢谢小虾大侠我也是这么想的 2007-10-3 20:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wangxlxk

发帖

127

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 2 楼 int 3断点只能修改在指令的第一个字节上，不能修改指令的后面字节，不然，你这样修改就会破解指令的功能。和CPU的走向。所以，如果你的4012BB是指令的第二个字节后面的就不能在这个地方下断点了。 2007-10-3 19:50 0
wangxlxk 雪币： 214 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 127 粉丝 0 关注私信	wangxlxk 3 楼谢谢小虾大侠我也是这么想的 2007-10-3 20:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复