[已解决]在代码段最后添加了几行，为什么有的机器上能用，有的机器上就不行？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[已解决]在代码段最后添加了几行，为什么有的机器上能用，有的机器上就不行？

2007-10-6 19:50 12053

[已解决]在代码段最后添加了几行，为什么有的机器上能用，有的机器上就不行？

aj3423

2007-10-6 19:50

12053

一个DLL，他里面原来的代码是这样

1000AAFA mov    dword ptr [1000F438], ebp       ; 我要把[1000F438]里放入1
1000AB00 mov    dword ptr [1000F234], ebp       ; 我要把[1000F234]里放入270Fh
1000AB06 call dword ptr [<&USER32.SetTimer>] ; \
我是这样做的，改成这样
1000AAFA jmp    1000CDD0 ; 在代码段最后加上些代码，然后跳到那
1000AAFF nop
1000AB00 dword ptr [1000F234], ebp       ; |
1000AB06 call dword ptr [<&USER32.SetTimer>] ; \

代码段最后找个空白地方加上
1000CDD0    mov    dword ptr [1000F438], 1
1000CDDA    mov    dword ptr [1000F234], 270F
1000CDE4    jmp    1000AB06

改好之后，在我的机器上能用，在其他人的机器上却运行不了(同样是xp sp2)，  exe刚Load这个dll 就自动关闭了，这可能是什么原因？谢谢。

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

#调试逆向

收藏・8

点赞・7

打赏

最新回复 (26) 1 2 ▶
Bughoho 雪币： 1946 活跃值： (238) 能力值： (RANK：330 ) 在线值：发帖 67 回帖 1191 粉丝 27 关注私信	Bughoho 8 2007-10-6 19:58 2 楼 0 重定位
aj3423 雪币： 194 活跃值： (96) 能力值： ( LV6，RANK：90 ) 在线值：发帖 80 回帖 267 粉丝 2 关注私信	aj3423 2 2007-10-6 22:31 3 楼 0 重定位是什么意思，难道代码段里的东西在运行时候还会变的吗，那个程序是一个游戏模拟器，不会有任何防逆向的，连壳都没有
无聊仔雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	无聊仔 2007-10-6 23:23 4 楼 0 就是说在你机器上的 1000F438 运行在别的机器里可能就成了 2000F438
NCFZ 雪币： 280 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 73 粉丝 0 关注私信	NCFZ 2007-10-7 00:30 5 楼 0 mov ebp,1
曾半仙雪币： 3758 活跃值： (3212) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 482 粉丝 78 关注私信	曾半仙 12 2007-10-7 04:17 6 楼 0 用Rejacker导出一份原dll的relox格式重定位表, 然后增加CDD2,CDDC两处重定位记录(RVA), 当然还需要删除AAFA+2处的重定位, 不然你的jmp far后面字节会被改掉了. 合并后, 删掉原dll文件的重定位表(因为relox不会帮你删), 用relox读入这份新表, 重建重定位表.
ccfer 雪币： 8191 活跃值： (4263) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 104 关注私信	ccfer 16 2007-10-7 10:10 7 楼 0 1000AAFA NOP 1000AAFB MOV EAX,1000CDD0 1000AB00 JMP EAX 1000CDD0 SUB EAX,0CDD0 1000CDD5 MOV DWORD PTR [EAX+0F438],1 1000CDDF MOV DWORD PTR [EAX+0F234],270F 1000CDE9 JMP 1000AB06
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 60 回帖 967 粉丝 1 关注私信	peaceclub 6 2007-10-7 12:58 8 楼 0 从 1000AB06 call dword ptr [<&USER32.SetTimer>] 改，越过有地址的运算。
kanxue 雪币： 32406 活跃值： (18810) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 488 关注私信	kanxue 8 2007-10-7 13:14 9 楼 0 ccfer的方法很巧妙，学习。不修改重定位表，我也来个传统的方法： 1000AAFA nop 1000AAFB push 1000CDD0 //利用了原重定位表 1000AB00 retn 1000CDD0 push edx 1000CDD1 call 1000CDD6 1000CDD6 pop edx 1000CDD7 sub edx, 1000CDD6 1000CDDD mov dword ptr [edx+1000F438], 1 1000CDE7 mov dword ptr [edx+1000F234], 270F 1000CDF1 pop edx 1000CDF2 jmp 1000AB06
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 580 粉丝 0 关注私信	vrowang123 1 2007-10-7 13:23 10 楼 0 果然巧妙！学习了！
aj3423 雪币： 194 活跃值： (96) 能力值： ( LV6，RANK：90 ) 在线值：发帖 80 回帖 267 粉丝 2 关注私信	aj3423 2 2007-10-7 13:24 11 楼 0 非常感谢各位，这个可以，但是没地方插入代码，还是需要jmp跳转不同机器环境下，DLL基址的差别是否只可能是10000000的倍数? 我现在用的ccfer的方法，拿到别的机器上也能成功了这个我还要再研究下。。
kanxue 雪币： 32406 活跃值： (18810) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 488 关注私信	kanxue 8 2007-10-7 13:29 12 楼 0 1000AAFA 892D 38F40010 mov dword ptr [1000F438], ebp ^^^^^^^^ 1000AAFC这个地址重定位表里有相应数据。 CCFER修改后： 1000AAFA 90 nop 1000AAFB B8 D0CD0010 mov eax, 1000CDD0 ^^^^^^^^ 巧妙地利用了原重定位表对1000AAFC重定位。
ziyihou 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	ziyihou 1 2007-10-7 14:28 13 楼 0 总是无意中学习到一些有用的东西，嘿嘿
【BiNg】雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 64 粉丝 1 关注私信	【BiNg】 2007-10-7 14:28 14 楼 0 只有想不到没有做不到真强学习严重学习ing
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2007-10-7 14:31 15 楼 0 SUB EAX,0CDD0无必要吧
芭蕉小筑雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 46 粉丝 0 关注私信	芭蕉小筑 2007-10-7 14:33 16 楼 0 不是无意啊，在看雪学到东西很正常
aj3423 雪币： 194 活跃值： (96) 能力值： ( LV6，RANK：90 ) 在线值：发帖 80 回帖 267 粉丝 2 关注私信	aj3423 2 2007-10-7 14:50 17 楼 0 原来如此巧妙找了一篇重定位的文章看了下，大致明白了多谢各位~~~
zhzhtst 雪币： 462 活跃值： (53) 能力值： ( LV9，RANK：460 ) 在线值：发帖 23 回帖 167 粉丝 1 关注私信	zhzhtst 11 2007-10-7 14:56 18 楼 0 [QUOTE=ccfer;368207]1000AAFA NOP 1000AAFB MOV EAX,1000CDD0 1000AB00 JMP EAX 1000CDD0 SUB EAX,0CDD0 1000CDD5 MOV DWORD PTR [EAX+0F438],1 1000CDDF MOV DW...[/QUOTE] 这就是病毒经常使用的重定位技巧
ccfer 雪币： 8191 活跃值： (4263) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 104 关注私信	ccfer 16 2007-10-7 15:18 19 楼 0 我自己用话肯定没有这行的写给别人看方便理解吧
七夕梦雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	七夕梦 2007-10-7 15:29 20 楼 0 还在作早操呢??汗
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-10-7 19:57 21 楼 0 ccfer是牛,我只想到call $+5
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 328 粉丝 5 关注私信	不懂算法 2 2007-10-7 21:34 22 楼 0 好好学习
方向感雪币： 1412 活跃值： (3246) 能力值： ( LV3，RANK：30 ) 在线值：发帖 41 回帖 691 粉丝 19 关注私信	方向感 2007-10-8 16:55 23 楼 0 学习了，利用 1000AAFB MOV EAX,1000CDD0 1000AB00 JMP EAX 1000CDD0 SUB EAX,0CDD0 求出偏移多少，不管在谁的电脑上用，都管用，这个好，记下了：）
曾半仙雪币： 3758 活跃值： (3212) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 482 粉丝 78 关注私信	曾半仙 12 2007-10-8 19:35 24 楼 0 自定位搞QQ华夏字体时候偷懒用过, 哈哈.
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 2007-10-9 22:59 25 楼 0 学习!!!!
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

aj3423

发帖

267

回帖

RANK

关注

私信

他的文章

[求助]vb的__vbaVarMul 和 __vbaVarAdd 结果不对

[悬赏]c++实现远程Windows RDP操作

[讨论]linux下的cryptopp库怎么这么大

[求助]有没有这种自修改的壳

[讨论]软件exe更新后，怎么更新之前的idb

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
Bughoho 雪币： 1946 活跃值： (238) 能力值： (RANK：330 ) 在线值：发帖 67 回帖 1191 粉丝 27 关注私信	Bughoho 8 2007-10-6 19:58 2 楼 0 重定位
aj3423 雪币： 194 活跃值： (96) 能力值： ( LV6，RANK：90 ) 在线值：发帖 80 回帖 267 粉丝 2 关注私信	aj3423 2 2007-10-6 22:31 3 楼 0 重定位是什么意思，难道代码段里的东西在运行时候还会变的吗，那个程序是一个游戏模拟器，不会有任何防逆向的，连壳都没有
无聊仔雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	无聊仔 2007-10-6 23:23 4 楼 0 就是说在你机器上的 1000F438 运行在别的机器里可能就成了 2000F438
NCFZ 雪币： 280 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 73 粉丝 0 关注私信	NCFZ 2007-10-7 00:30 5 楼 0 mov ebp,1
曾半仙雪币： 3758 活跃值： (3212) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 482 粉丝 78 关注私信	曾半仙 12 2007-10-7 04:17 6 楼 0 用Rejacker导出一份原dll的relox格式重定位表, 然后增加CDD2,CDDC两处重定位记录(RVA), 当然还需要删除AAFA+2处的重定位, 不然你的jmp far后面字节会被改掉了. 合并后, 删掉原dll文件的重定位表(因为relox不会帮你删), 用relox读入这份新表, 重建重定位表.
ccfer 雪币： 8191 活跃值： (4263) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 104 关注私信	ccfer 16 2007-10-7 10:10 7 楼 0 1000AAFA NOP 1000AAFB MOV EAX,1000CDD0 1000AB00 JMP EAX 1000CDD0 SUB EAX,0CDD0 1000CDD5 MOV DWORD PTR [EAX+0F438],1 1000CDDF MOV DWORD PTR [EAX+0F234],270F 1000CDE9 JMP 1000AB06
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 60 回帖 967 粉丝 1 关注私信	peaceclub 6 2007-10-7 12:58 8 楼 0 从 1000AB06 call dword ptr [<&USER32.SetTimer>] 改，越过有地址的运算。
kanxue 雪币： 32406 活跃值： (18810) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 488 关注私信	kanxue 8 2007-10-7 13:14 9 楼 0 ccfer的方法很巧妙，学习。不修改重定位表，我也来个传统的方法： 1000AAFA nop 1000AAFB push 1000CDD0 //利用了原重定位表 1000AB00 retn 1000CDD0 push edx 1000CDD1 call 1000CDD6 1000CDD6 pop edx 1000CDD7 sub edx, 1000CDD6 1000CDDD mov dword ptr [edx+1000F438], 1 1000CDE7 mov dword ptr [edx+1000F234], 270F 1000CDF1 pop edx 1000CDF2 jmp 1000AB06
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 580 粉丝 0 关注私信	vrowang123 1 2007-10-7 13:23 10 楼 0 果然巧妙！学习了！
aj3423 雪币： 194 活跃值： (96) 能力值： ( LV6，RANK：90 ) 在线值：发帖 80 回帖 267 粉丝 2 关注私信	aj3423 2 2007-10-7 13:24 11 楼 0 非常感谢各位，这个可以，但是没地方插入代码，还是需要jmp跳转不同机器环境下，DLL基址的差别是否只可能是10000000的倍数? 我现在用的ccfer的方法，拿到别的机器上也能成功了这个我还要再研究下。。
kanxue 雪币： 32406 活跃值： (18810) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 488 关注私信	kanxue 8 2007-10-7 13:29 12 楼 0 1000AAFA 892D 38F40010 mov dword ptr [1000F438], ebp ^^^^^^^^ 1000AAFC这个地址重定位表里有相应数据。 CCFER修改后： 1000AAFA 90 nop 1000AAFB B8 D0CD0010 mov eax, 1000CDD0 ^^^^^^^^ 巧妙地利用了原重定位表对1000AAFC重定位。
ziyihou 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	ziyihou 1 2007-10-7 14:28 13 楼 0 总是无意中学习到一些有用的东西，嘿嘿
【BiNg】雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 64 粉丝 1 关注私信	【BiNg】 2007-10-7 14:28 14 楼 0 只有想不到没有做不到真强学习严重学习ing
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2007-10-7 14:31 15 楼 0 SUB EAX,0CDD0无必要吧
芭蕉小筑雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 46 粉丝 0 关注私信	芭蕉小筑 2007-10-7 14:33 16 楼 0 不是无意啊，在看雪学到东西很正常
aj3423 雪币： 194 活跃值： (96) 能力值： ( LV6，RANK：90 ) 在线值：发帖 80 回帖 267 粉丝 2 关注私信	aj3423 2 2007-10-7 14:50 17 楼 0 原来如此巧妙找了一篇重定位的文章看了下，大致明白了多谢各位~~~
zhzhtst 雪币： 462 活跃值： (53) 能力值： ( LV9，RANK：460 ) 在线值：发帖 23 回帖 167 粉丝 1 关注私信	zhzhtst 11 2007-10-7 14:56 18 楼 0 [QUOTE=ccfer;368207]1000AAFA NOP 1000AAFB MOV EAX,1000CDD0 1000AB00 JMP EAX 1000CDD0 SUB EAX,0CDD0 1000CDD5 MOV DWORD PTR [EAX+0F438],1 1000CDDF MOV DW...[/QUOTE] 这就是病毒经常使用的重定位技巧
ccfer 雪币： 8191 活跃值： (4263) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 104 关注私信	ccfer 16 2007-10-7 15:18 19 楼 0 我自己用话肯定没有这行的写给别人看方便理解吧
七夕梦雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	七夕梦 2007-10-7 15:29 20 楼 0 还在作早操呢??汗
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-10-7 19:57 21 楼 0 ccfer是牛,我只想到call $+5
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 328 粉丝 5 关注私信	不懂算法 2 2007-10-7 21:34 22 楼 0 好好学习
方向感雪币： 1412 活跃值： (3246) 能力值： ( LV3，RANK：30 ) 在线值：发帖 41 回帖 691 粉丝 19 关注私信	方向感 2007-10-8 16:55 23 楼 0 学习了，利用 1000AAFB MOV EAX,1000CDD0 1000AB00 JMP EAX 1000CDD0 SUB EAX,0CDD0 求出偏移多少，不管在谁的电脑上用，都管用，这个好，记下了：）
曾半仙雪币： 3758 活跃值： (3212) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 482 粉丝 78 关注私信	曾半仙 12 2007-10-8 19:35 24 楼 0 自定位搞QQ华夏字体时候偷懒用过, 哈哈.
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 2007-10-9 22:59 25 楼 0 学习!!!!
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复