[已解决]在代码段最后添加了几行，为什么有的机器上能用，有的机器上就不行？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[已解决]在代码段最后添加了几行，为什么有的机器上能用，有的机器上就不行？

发表于: 2007-10-6 19:50 12526

[已解决]在代码段最后添加了几行，为什么有的机器上能用，有的机器上就不行？

aj3423

2007-10-6 19:50

12526

一个DLL，他里面原来的代码是这样

1000AAFA mov    dword ptr [1000F438], ebp       ; 我要把[1000F438]里放入1
1000AB00 mov    dword ptr [1000F234], ebp       ; 我要把[1000F234]里放入270Fh
1000AB06 call dword ptr [<&USER32.SetTimer>] ; \
我是这样做的，改成这样
1000AAFA jmp    1000CDD0 ; 在代码段最后加上些代码，然后跳到那
1000AAFF nop
1000AB00 dword ptr [1000F234], ebp       ; |
1000AB06 call dword ptr [<&USER32.SetTimer>] ; \

代码段最后找个空白地方加上
1000CDD0    mov    dword ptr [1000F438], 1
1000CDDA    mov    dword ptr [1000F234], 270F
1000CDE4    jmp    1000AB06

改好之后，在我的机器上能用，在其他人的机器上却运行不了(同样是xp sp2)，  exe刚Load这个dll 就自动关闭了，这可能是什么原因？谢谢。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

收藏・8

免费・7

支持

最新回复 (26) 1 2 ▶
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 2 楼重定位 2007-10-6 19:58 0
aj3423 雪币： 196 活跃值： (96) 能力值： ( LV6，RANK：90 ) 在线值：发帖 82 回帖 271 粉丝 2 关注私信	aj3423 2 3 楼重定位是什么意思，难道代码段里的东西在运行时候还会变的吗，那个程序是一个游戏模拟器，不会有任何防逆向的，连壳都没有 2007-10-6 22:31 0
无聊仔雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	无聊仔 4 楼就是说在你机器上的 1000F438 运行在别的机器里可能就成了 2000F438 2007-10-6 23:23 0
NCFZ 雪币： 280 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 73 粉丝 0 关注私信	NCFZ 5 楼 mov ebp,1 2007-10-7 00:30 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 6 楼用Rejacker导出一份原dll的relox格式重定位表, 然后增加CDD2,CDDC两处重定位记录(RVA), 当然还需要删除AAFA+2处的重定位, 不然你的jmp far后面字节会被改掉了. 合并后, 删掉原dll文件的重定位表(因为relox不会帮你删), 用relox读入这份新表, 重建重定位表. 2007-10-7 04:17 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 7 楼 1000AAFA NOP 1000AAFB MOV EAX,1000CDD0 1000AB00 JMP EAX 1000CDD0 SUB EAX,0CDD0 1000CDD5 MOV DWORD PTR [EAX+0F438],1 1000CDDF MOV DWORD PTR [EAX+0F234],270F 1000CDE9 JMP 1000AB06 2007-10-7 10:10 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 8 楼从 1000AB06 call dword ptr [<&USER32.SetTimer>] 改，越过有地址的运算。 2007-10-7 12:58 0
kanxue 雪币： 47147 活跃值： (20410) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 9 楼 ccfer的方法很巧妙，学习。不修改重定位表，我也来个传统的方法： 1000AAFA nop 1000AAFB push 1000CDD0 //利用了原重定位表 1000AB00 retn 1000CDD0 push edx 1000CDD1 call 1000CDD6 1000CDD6 pop edx 1000CDD7 sub edx, 1000CDD6 1000CDDD mov dword ptr [edx+1000F438], 1 1000CDE7 mov dword ptr [edx+1000F234], 270F 1000CDF1 pop edx 1000CDF2 jmp 1000AB06 2007-10-7 13:14 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 10 楼果然巧妙！学习了！ 2007-10-7 13:23 0
aj3423 雪币： 196 活跃值： (96) 能力值： ( LV6，RANK：90 ) 在线值：发帖 82 回帖 271 粉丝 2 关注私信	aj3423 2 11 楼非常感谢各位，这个可以，但是没地方插入代码，还是需要jmp跳转不同机器环境下，DLL基址的差别是否只可能是10000000的倍数? 我现在用的ccfer的方法，拿到别的机器上也能成功了这个我还要再研究下。。 2007-10-7 13:24 0
kanxue 雪币： 47147 活跃值： (20410) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 12 楼 1000AAFA 892D 38F40010 mov dword ptr [1000F438], ebp ^^^^^^^^ 1000AAFC这个地址重定位表里有相应数据。 CCFER修改后： 1000AAFA 90 nop 1000AAFB B8 D0CD0010 mov eax, 1000CDD0 ^^^^^^^^ 巧妙地利用了原重定位表对1000AAFC重定位。 2007-10-7 13:29 0
ziyihou 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	ziyihou 1 13 楼总是无意中学习到一些有用的东西，嘿嘿 2007-10-7 14:28 0
【BiNg】雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 1 关注私信	【BiNg】 14 楼只有想不到没有做不到真强学习严重学习ing 2007-10-7 14:28 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 15 楼 SUB EAX,0CDD0无必要吧 2007-10-7 14:31 0
芭蕉小筑雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 46 粉丝 0 关注私信	芭蕉小筑 16 楼不是无意啊，在看雪学到东西很正常 2007-10-7 14:33 0
aj3423 雪币： 196 活跃值： (96) 能力值： ( LV6，RANK：90 ) 在线值：发帖 82 回帖 271 粉丝 2 关注私信	aj3423 2 17 楼原来如此巧妙找了一篇重定位的文章看了下，大致明白了多谢各位~~~ 2007-10-7 14:50 0
zhzhtst 雪币： 462 活跃值： (53) 能力值： ( LV9，RANK：460 ) 在线值：发帖 23 回帖 167 粉丝 1 关注私信	zhzhtst 11 18 楼 [QUOTE=ccfer;368207]1000AAFA NOP 1000AAFB MOV EAX,1000CDD0 1000AB00 JMP EAX 1000CDD0 SUB EAX,0CDD0 1000CDD5 MOV DWORD PTR [EAX+0F438],1 1000CDDF MOV DW...[/QUOTE] 这就是病毒经常使用的重定位技巧 2007-10-7 14:56 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 19 楼我自己用话肯定没有这行的写给别人看方便理解吧 2007-10-7 15:18 0
七夕梦雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	七夕梦 20 楼还在作早操呢??汗 2007-10-7 15:29 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 21 楼 ccfer是牛,我只想到call $+5 2007-10-7 19:57 0
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 329 粉丝 5 关注私信	不懂算法 2 22 楼好好学习 2007-10-7 21:34 0
方向感雪币： 1436 活跃值： (3861) 能力值： ( LV3，RANK：30 ) 在线值：发帖 41 回帖 710 粉丝 22 关注私信	方向感 23 楼学习了，利用 1000AAFB MOV EAX,1000CDD0 1000AB00 JMP EAX 1000CDD0 SUB EAX,0CDD0 求出偏移多少，不管在谁的电脑上用，都管用，这个好，记下了：） 2007-10-8 16:55 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 24 楼自定位搞QQ华夏字体时候偷懒用过, 哈哈. 2007-10-8 19:35 0
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 25 楼学习!!!! 2007-10-9 22:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

aj3423

发帖

271

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 2 楼重定位 2007-10-6 19:58 0
aj3423 雪币： 196 活跃值： (96) 能力值： ( LV6，RANK：90 ) 在线值：发帖 82 回帖 271 粉丝 2 关注私信	aj3423 2 3 楼重定位是什么意思，难道代码段里的东西在运行时候还会变的吗，那个程序是一个游戏模拟器，不会有任何防逆向的，连壳都没有 2007-10-6 22:31 0
无聊仔雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	无聊仔 4 楼就是说在你机器上的 1000F438 运行在别的机器里可能就成了 2000F438 2007-10-6 23:23 0
NCFZ 雪币： 280 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 73 粉丝 0 关注私信	NCFZ 5 楼 mov ebp,1 2007-10-7 00:30 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 6 楼用Rejacker导出一份原dll的relox格式重定位表, 然后增加CDD2,CDDC两处重定位记录(RVA), 当然还需要删除AAFA+2处的重定位, 不然你的jmp far后面字节会被改掉了. 合并后, 删掉原dll文件的重定位表(因为relox不会帮你删), 用relox读入这份新表, 重建重定位表. 2007-10-7 04:17 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 7 楼 1000AAFA NOP 1000AAFB MOV EAX,1000CDD0 1000AB00 JMP EAX 1000CDD0 SUB EAX,0CDD0 1000CDD5 MOV DWORD PTR [EAX+0F438],1 1000CDDF MOV DWORD PTR [EAX+0F234],270F 1000CDE9 JMP 1000AB06 2007-10-7 10:10 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 8 楼从 1000AB06 call dword ptr [<&USER32.SetTimer>] 改，越过有地址的运算。 2007-10-7 12:58 0
kanxue 雪币： 47147 活跃值： (20410) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 9 楼 ccfer的方法很巧妙，学习。不修改重定位表，我也来个传统的方法： 1000AAFA nop 1000AAFB push 1000CDD0 //利用了原重定位表 1000AB00 retn 1000CDD0 push edx 1000CDD1 call 1000CDD6 1000CDD6 pop edx 1000CDD7 sub edx, 1000CDD6 1000CDDD mov dword ptr [edx+1000F438], 1 1000CDE7 mov dword ptr [edx+1000F234], 270F 1000CDF1 pop edx 1000CDF2 jmp 1000AB06 2007-10-7 13:14 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 10 楼果然巧妙！学习了！ 2007-10-7 13:23 0
aj3423 雪币： 196 活跃值： (96) 能力值： ( LV6，RANK：90 ) 在线值：发帖 82 回帖 271 粉丝 2 关注私信	aj3423 2 11 楼非常感谢各位，这个可以，但是没地方插入代码，还是需要jmp跳转不同机器环境下，DLL基址的差别是否只可能是10000000的倍数? 我现在用的ccfer的方法，拿到别的机器上也能成功了这个我还要再研究下。。 2007-10-7 13:24 0
kanxue 雪币： 47147 活跃值： (20410) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 12 楼 1000AAFA 892D 38F40010 mov dword ptr [1000F438], ebp ^^^^^^^^ 1000AAFC这个地址重定位表里有相应数据。 CCFER修改后： 1000AAFA 90 nop 1000AAFB B8 D0CD0010 mov eax, 1000CDD0 ^^^^^^^^ 巧妙地利用了原重定位表对1000AAFC重定位。 2007-10-7 13:29 0
ziyihou 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	ziyihou 1 13 楼总是无意中学习到一些有用的东西，嘿嘿 2007-10-7 14:28 0
【BiNg】雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 1 关注私信	【BiNg】 14 楼只有想不到没有做不到真强学习严重学习ing 2007-10-7 14:28 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 15 楼 SUB EAX,0CDD0无必要吧 2007-10-7 14:31 0
芭蕉小筑雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 46 粉丝 0 关注私信	芭蕉小筑 16 楼不是无意啊，在看雪学到东西很正常 2007-10-7 14:33 0
aj3423 雪币： 196 活跃值： (96) 能力值： ( LV6，RANK：90 ) 在线值：发帖 82 回帖 271 粉丝 2 关注私信	aj3423 2 17 楼原来如此巧妙找了一篇重定位的文章看了下，大致明白了多谢各位~~~ 2007-10-7 14:50 0
zhzhtst 雪币： 462 活跃值： (53) 能力值： ( LV9，RANK：460 ) 在线值：发帖 23 回帖 167 粉丝 1 关注私信	zhzhtst 11 18 楼 [QUOTE=ccfer;368207]1000AAFA NOP 1000AAFB MOV EAX,1000CDD0 1000AB00 JMP EAX 1000CDD0 SUB EAX,0CDD0 1000CDD5 MOV DWORD PTR [EAX+0F438],1 1000CDDF MOV DW...[/QUOTE] 这就是病毒经常使用的重定位技巧 2007-10-7 14:56 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 19 楼我自己用话肯定没有这行的写给别人看方便理解吧 2007-10-7 15:18 0
七夕梦雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	七夕梦 20 楼还在作早操呢??汗 2007-10-7 15:29 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 21 楼 ccfer是牛,我只想到call $+5 2007-10-7 19:57 0
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 329 粉丝 5 关注私信	不懂算法 2 22 楼好好学习 2007-10-7 21:34 0
方向感雪币： 1436 活跃值： (3861) 能力值： ( LV3，RANK：30 ) 在线值：发帖 41 回帖 710 粉丝 22 关注私信	方向感 23 楼学习了，利用 1000AAFB MOV EAX,1000CDD0 1000AB00 JMP EAX 1000CDD0 SUB EAX,0CDD0 求出偏移多少，不管在谁的电脑上用，都管用，这个好，记下了：） 2007-10-8 16:55 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 24 楼自定位搞QQ华夏字体时候偷懒用过, 哈哈. 2007-10-8 19:35 0
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 25 楼学习!!!! 2007-10-9 22:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复