[求助]最近遇到的问题,-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼 004C04F8 \|> 5F POP EDI 004C04F9 \|. 5E POP ESI 004C04FA \|. 5B POP EBX 这几行不能动的，恢复现场环境，同时平衡堆栈。 2007-11-14 09:38 0
lp3dmax 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	lp3dmax 3 楼最后一句我不想用retn,有没有其他的办法能代替retn,我看到一些资料介绍retn实际上是系统自动执行了pop eip,jmp eip,可是现在我输入pop eip,系统提示错误,说这样操作不容许,为什么呢,通过什么方式才能给eip赋值呢? 2007-11-15 07:43 0
chnqw 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	chnqw 4 楼菜菜跟学一下!! 2007-11-15 08:29 0
shinorwar 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	shinorwar 5 楼 EIP这个寄存器很特殊系统设定它既不可读，也不可写，以保护指令流程的正确性。只能由系统自己修改它，所以诸如POP EIP之类的代码肯定是错误的。 2007-11-15 09:13 0
chinglq 雪币： 207 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 196 粉丝 0 关注私信	chinglq 6 楼呵呵！又学了一招！谢谢shinorwar大侠！ 2007-11-15 09:21 0
xiaolz 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	xiaolz 7 楼虽然不能 pop eip 但是可以 00401375 58 pop eax 00401376 FFE0 jmp eax 但是因为 retn 只占一个字节 (C3) 而 pop eax ,jmp eax 点3个字节(58FFE0) 就不能随便的改.因为影响到 retn 下面的指令。如果 retn 下面的是2个 int3 (CC) ，就可以了 2007-11-15 11:30 0
lp3dmax 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	lp3dmax 8 楼 retn下面就是其他区段了,运行的过程中,系统会改写下面区段的内容. 我尝试过跳转到其他的空白区域,但是我跟踪后发现,跳转的地址,在运行的过程中,被改写了,发生了改变,可断定retn下面的区域在运行的过程中会被改写,跳转的命令要占用四个字节. 看来只能用其他的方法了,我已经给程序加了新的区段,准备把这个子模块全部挪过去. 不知道这样行不行. 大家还有更好的办法吗? 2007-11-16 15:18 0
lp3dmax 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	lp3dmax 9 楼我尝试了增加区段的方法,可是程序运行不了了,我把替换的代码全部用nop填充,然后把代码都挪到新增加的区段里去,我用od调试设置断点的时候,系统出现如下的提示,高手帮忙分析,是为什么呢? 你将在代码部分范围外设置断点,int3断点设置在数据上将不会执行并可能严重影响调试的程序. 这是为什么呢,高手门给看看. 2007-11-17 09:17 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 10 楼 OD设置，调试选项/安全将“在代码外设断警告 ”的√取消 2007-11-17 09:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼 004C04F8 \|> 5F POP EDI 004C04F9 \|. 5E POP ESI 004C04FA \|. 5B POP EBX 这几行不能动的，恢复现场环境，同时平衡堆栈。 2007-11-14 09:38 0
lp3dmax 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	lp3dmax 3 楼最后一句我不想用retn,有没有其他的办法能代替retn,我看到一些资料介绍retn实际上是系统自动执行了pop eip,jmp eip,可是现在我输入pop eip,系统提示错误,说这样操作不容许,为什么呢,通过什么方式才能给eip赋值呢? 2007-11-15 07:43 0
chnqw 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	chnqw 4 楼菜菜跟学一下!! 2007-11-15 08:29 0
shinorwar 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	shinorwar 5 楼 EIP这个寄存器很特殊系统设定它既不可读，也不可写，以保护指令流程的正确性。只能由系统自己修改它，所以诸如POP EIP之类的代码肯定是错误的。 2007-11-15 09:13 0
chinglq 雪币： 207 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 196 粉丝 0 关注私信	chinglq 6 楼呵呵！又学了一招！谢谢shinorwar大侠！ 2007-11-15 09:21 0
xiaolz 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	xiaolz 7 楼虽然不能 pop eip 但是可以 00401375 58 pop eax 00401376 FFE0 jmp eax 但是因为 retn 只占一个字节 (C3) 而 pop eax ,jmp eax 点3个字节(58FFE0) 就不能随便的改.因为影响到 retn 下面的指令。如果 retn 下面的是2个 int3 (CC) ，就可以了 2007-11-15 11:30 0
lp3dmax 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	lp3dmax 8 楼 retn下面就是其他区段了,运行的过程中,系统会改写下面区段的内容. 我尝试过跳转到其他的空白区域,但是我跟踪后发现,跳转的地址,在运行的过程中,被改写了,发生了改变,可断定retn下面的区域在运行的过程中会被改写,跳转的命令要占用四个字节. 看来只能用其他的方法了,我已经给程序加了新的区段,准备把这个子模块全部挪过去. 不知道这样行不行. 大家还有更好的办法吗? 2007-11-16 15:18 0
lp3dmax 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	lp3dmax 9 楼我尝试了增加区段的方法,可是程序运行不了了,我把替换的代码全部用nop填充,然后把代码都挪到新增加的区段里去,我用od调试设置断点的时候,系统出现如下的提示,高手帮忙分析,是为什么呢? 你将在代码部分范围外设置断点,int3断点设置在数据上将不会执行并可能严重影响调试的程序. 这是为什么呢,高手门给看看. 2007-11-17 09:17 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 10 楼 OD设置，调试选项/安全将“在代码外设断警告 ”的√取消 2007-11-17 09:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复