广告之后：　PE　 SEH　（高手勿进）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

广告之后：　PE　 SEH　（高手勿进）

发表于: 2004-11-4 17:38 9537

广告之后：　PE　 SEH　（高手勿进）

qiweixue

2004-11-4 17:38

9537

工具：od ；lordpe ，hiew workshop
作者:QiWeiXue [BCG]
声明：我是一只吃菜的大青虫；高手见笑了;一点小心得与大家分享;
只是写几个seh，玩完；没有别的意思；
加函数,找空隙,偶就不一一叙述了;
我的记事本没有改之前的OEP要保存好

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
01006AE0 N> 6A 70          push 70
01006AE2    68 88180001    push NOTEPAD.01001888
01006AE7 .  E8 BC010000    call NOTEPAD.01006CA8
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

一共写六个异常（1Reading 0 Except；Divide Is zero；Int3 Expect；Int68 Except； Int68 Except ；特权指令异常(这个TeQuan ZhiLing是拼音，偶英文不大好:=(,所以用的拼音；谢谢帮我纠正，thanks)
第一块空隙：
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
01007D71    68 9F7D0001    push NOTEPAD.01007D9F
01007D76    64:A1 00000000 mov eax,dword ptr fs:[0]
01007D7C    50             push eax
01007D7D    64:8925 00000000  mov dword ptr fs:[0],esp
01007D84    BE 00000000    mov esi,0
01007D89    8B06             mov eax,dword ptr ds:[esi]
01007D8B    6A 00          push 0
01007D8D    68 E0810001    push NOTEPAD.010081E0                   ;  ASCII "Except"
01007D92    68 E7810001    push NOTEPAD.010081E7                   ;  ASCII "Except NO Runing"
01007D97    6A 00          push 0
01007D99    FF15 19300101    call dword ptr ds:[<&user32.MessageBoxA>>;  USER32.MessageBoxA
01007D9F    90             nop
01007DA0    6A 00          push 0
01007DA2    68 E0810001    push NOTEPAD.010081E0                   ;  ASCII "Except"
01007DA7    68 F8810001    push NOTEPAD.010081F8                   ;  ASCII "Reading 0 Except :=("
01007DAC    6A 00          push 0
01007DAE    FF15 19300101    call dword ptr ds:[<&user32.MessageBoxA>>;  USER32.MessageBoxA
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
01007DB4    90             nop
01007DB5    68 D27D0001    push NOTEPAD.01007DD2
01007DBA    64:A1 00000000 mov eax,dword ptr fs:[0]
01007DC0    50             push eax
01007DC1    64:8925 00000000  mov dword ptr fs:[0],esp
01007DC8    BB 00000000    mov ebx,0
01007DCD    F7F3             div ebx
01007DCF    ^ EB BA          jmp short NOTEPAD.01007D8B
01007DD1    90             nop
01007DD2    90             nop
01007DD3    6A 00          push 0
01007DD5    68 E0810001    push NOTEPAD.010081E0                   ;  ASCII "Except"
01007DDA    68 0D820001    push NOTEPAD.0100820D                   ;  ASCII "Divide Is zero :=("
01007DDF    6A 00          push 0
01007DE1    FF15 19300101    call dword ptr ds:[<&user32.MessageBoxA>>;  USER32.MessageBoxA
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
01007DE7    90             nop
01007DE8    68 28310101    push NOTEPAD.01013128
01007DED    64:A1 00000000 mov eax,dword ptr fs:[0]
01007DF3    50             push eax
01007DF4    64:8925 00000000  mov dword ptr fs:[0],esp
01007DFB    - E9 20B30000    jmp NOTEPAD.01013120
第二块空隙：
01013120    90                nop
01013121    CD 03             int 3
01013123 - E9 634CFFFF       jmp NOTEPAD.01007D8B
01013128    6A 00             push 0
0101312A    68 E0810001       push NOTEPAD.010081E0                   ; ASCII "Except"
0101312F    68 34820001       push NOTEPAD.01008234                   ; ASCII "Have Int3 Expect :=("
01013134    6A 00             push 0
01013136    FF15 19300101    call dword ptr ds:[<&user32.MessageBoxA>>; USER32.MessageBoxA
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
0101313C    90                nop
0101313D    68 59310101       push NOTEPAD.01013159
01013142    64:A1 00000000    mov eax,dword ptr fs:[0]
01013148    50                push eax
01013149    64:8925 00000000 mov dword ptr fs:[0],esp
01013150    90                nop
01013151    CD 68             int 68
01013153    90                nop
01013154 - E9 324CFFFF       jmp NOTEPAD.01007D8B
01013159    90                nop
0101315A    6A 00             push 0
0101315C    68 E0810001       push NOTEPAD.010081E0                   ; ASCII "Except"
01013161    68 49820001       push NOTEPAD.01008249                   ; ASCII "Have Int68 Except :=("
01013166    6A 00             push 0
01013168    FF15 19300101    call dword ptr ds:[<&user32.MessageBoxA>>; USER32.MessageBoxA
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
0101316E    90                nop
0101316F    68 8F310101       push NOTEPAD.0101318F
01013174    64:A1 00000000    mov eax,dword ptr fs:[0]
0101317A    50                push eax
0101317B    64:8925 00000000 mov dword ptr fs:[0],esp
01013182    90                nop
01013183    CD20 43451300    vxdcall 134543
01013189    90                nop
0101318A - E9 FC4BFFFF       jmp NOTEPAD.01007D8B
0101318F    90                nop
01013190    6A 00             push 0
01013192    68 E0810001       push NOTEPAD.010081E0                   ; ASCII "Except"
01013197    68 5F820001       push NOTEPAD.0100825F                   ; ASCII "Invalid Order(Command) :=("
0101319C    6A 00             push 0
0101319E    FF15 19300101    call dword ptr ds:[<&user32.MessageBoxA>>; USER32.MessageBoxA
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
010131A4    90                nop
010131A5    68 C2310101       push NOTEPAD.010131C2
010131AA    64:A1 00000000    mov eax,dword ptr fs:[0]
010131B0    50                push eax
010131B1    64:8925 00000000 mov dword ptr fs:[0],esp
010131B8    90                nop
010131B9    90                nop
010131BA    90                nop
010131BB    FB                sti
010131BC    90                nop
010131BD - E9 C94BFFFF       jmp NOTEPAD.01007D8B
010131C2    90                nop
010131C3    6A 00             push 0
010131C5    68 E0810001       push NOTEPAD.010081E0                   ; ASCII "Except"
010131CA    68 7A820001       push NOTEPAD.0100827A                   ; ASCII "TeQuan ZhiLing"
010131CF    6A 00             push 0
010131D1    FF15 19300101    call dword ptr ds:[<&user32.MessageBoxA>>; USER32.MessageBoxA
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
010131D7    90                nop
010131D8    90                nop
010131D9    6A 00             push 0
010131DB    68 B6820001       push NOTEPAD.010082B6                   ; ASCII "GoodBye~"
010131E0    68 94820001       push NOTEPAD.01008294                   ; ASCII "You Can SEH~~Thanks You~GoodLuck~"
010131E5    6A 00             push 0
010131E7    FF15 19300101    call dword ptr ds:[<&user32.MessageBoxA>>; USER32.MessageBoxA
010131ED    90                nop
010131EE    90                nop
010131EF    6A 70             push 70
010131F1    68 88180001       push NOTEPAD.01001888
010131F6 - E9 EC38FFFF       jmp NOTEPAD.01006AE7

谢谢,看完;附件:SEHdiy.rar

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・1

免费・7

支持

最新回复 (18)
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 2 楼不错。学习！ 2004-11-4 18:00 0
冷静雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 69 粉丝 1 关注私信	冷静 3 楼不错,不错,加油啊,小七^_^!! 2004-11-4 20:46 0
linhanshi 雪币： 97697 活跃值： (200819) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27946 粉丝 452 关注私信	linhanshi 4 楼支持!!! 2004-11-4 20:49 0
sadan 雪币： 212 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 252 粉丝 0 关注私信	sadan 1 5 楼顶了!! 2004-11-4 20:55 0
mydear256 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 42 粉丝 0 关注私信	mydear256 6 楼厉害! 2004-11-4 21:00 0
狗剩雪币： 124 活跃值： (107) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 119 粉丝 2 关注私信	狗剩 1 7 楼支持一把，虽然看不懂;) ;) 2004-11-4 21:54 0
xy2000 雪币： 107 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 123 粉丝 1 关注私信	xy2000 1 8 楼兄弟虽然刚加入BCG,但是我一样会尽力来支持你. 2004-11-5 07:30 0
hbgsw 雪币： 201 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	hbgsw 9 楼太高深了，看不懂。:( :( :o :o 2004-11-5 08:26 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 10 楼顶 2004-11-5 09:31 0
xyzreg 雪币： 126 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	xyzreg 1 11 楼七七兄，支持啊！顶~~~ 噢， xy2000大侠，BCG的网站上好象被放了东东，每去一次，还原卡都有反映的，显示数据被修改~~~还好不是俺自己的机，是学校机房的，嘿嘿。 2004-11-5 10:04 0
stasi 雪币： 298 活跃值： (512) 能力值： ( LV12，RANK：490 ) 在线值：发帖 21 回帖 127 粉丝 2 关注私信	stasi 12 12 楼 cookies 2004-11-5 12:01 0
fredcc 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 55 粉丝 0 关注私信	fredcc 13 楼学习！ 2004-11-5 13:21 0
jackerzhou 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	jackerzhou 14 楼学习啊学习. 2004-11-5 15:33 0
king2004 雪币： 409 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 65 粉丝 0 关注私信	king2004 15 楼努力学习，争取看懂。顶！ 2004-11-6 11:46 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 16 楼帖子沉了~~~ 自己顶~~~ 多谢大家支持~:D 2004-11-6 19:02 0
天意2001 雪币： 1 能力值： (RANK：10 ) 在线值：发帖 6 回帖 23 粉丝 0 关注私信	天意2001 17 楼不能沉！~顶！~看起来好高深啊，多向楼主学习！！ 2004-11-7 09:32 0
FlyToTheSpace 雪币： 333 活跃值： (369) 能力值： ( LV12，RANK：490 ) 在线值：发帖 58 回帖 388 粉丝 0 关注私信	FlyToTheSpace 12 18 楼顶一下^_^ 2004-11-7 17:20 0
hbgsw 雪币： 201 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	hbgsw 19 楼我也顶下，但是楼主能否解释下什么意思。我看的不是很懂/:o :o 2004-11-7 18:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

qiweixue

发帖

1136

回帖

770

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 2 楼不错。学习！ 2004-11-4 18:00 0
冷静雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 69 粉丝 1 关注私信	冷静 3 楼不错,不错,加油啊,小七^_^!! 2004-11-4 20:46 0
linhanshi 雪币： 97697 活跃值： (200819) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27946 粉丝 452 关注私信	linhanshi 4 楼支持!!! 2004-11-4 20:49 0
sadan 雪币： 212 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 252 粉丝 0 关注私信	sadan 1 5 楼顶了!! 2004-11-4 20:55 0
mydear256 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 42 粉丝 0 关注私信	mydear256 6 楼厉害! 2004-11-4 21:00 0
狗剩雪币： 124 活跃值： (107) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 119 粉丝 2 关注私信	狗剩 1 7 楼支持一把，虽然看不懂;) ;) 2004-11-4 21:54 0
xy2000 雪币： 107 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 123 粉丝 1 关注私信	xy2000 1 8 楼兄弟虽然刚加入BCG,但是我一样会尽力来支持你. 2004-11-5 07:30 0
hbgsw 雪币： 201 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	hbgsw 9 楼太高深了，看不懂。:( :( :o :o 2004-11-5 08:26 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 10 楼顶 2004-11-5 09:31 0
xyzreg 雪币： 126 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	xyzreg 1 11 楼七七兄，支持啊！顶~~~ 噢， xy2000大侠，BCG的网站上好象被放了东东，每去一次，还原卡都有反映的，显示数据被修改~~~还好不是俺自己的机，是学校机房的，嘿嘿。 2004-11-5 10:04 0
stasi 雪币： 298 活跃值： (512) 能力值： ( LV12，RANK：490 ) 在线值：发帖 21 回帖 127 粉丝 2 关注私信	stasi 12 12 楼 cookies 2004-11-5 12:01 0
fredcc 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 55 粉丝 0 关注私信	fredcc 13 楼学习！ 2004-11-5 13:21 0
jackerzhou 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	jackerzhou 14 楼学习啊学习. 2004-11-5 15:33 0
king2004 雪币： 409 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 65 粉丝 0 关注私信	king2004 15 楼努力学习，争取看懂。顶！ 2004-11-6 11:46 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 16 楼帖子沉了~~~ 自己顶~~~ 多谢大家支持~:D 2004-11-6 19:02 0
天意2001 雪币： 1 能力值： (RANK：10 ) 在线值：发帖 6 回帖 23 粉丝 0 关注私信	天意2001 17 楼不能沉！~顶！~看起来好高深啊，多向楼主学习！！ 2004-11-7 09:32 0
FlyToTheSpace 雪币： 333 活跃值： (369) 能力值： ( LV12，RANK：490 ) 在线值：发帖 58 回帖 388 粉丝 0 关注私信	FlyToTheSpace 12 18 楼顶一下^_^ 2004-11-7 17:20 0
hbgsw 雪币： 201 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	hbgsw 19 楼我也顶下，但是楼主能否解释下什么意思。我看的不是很懂/:o :o 2004-11-7 18:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

广告之后： PE SEH （高手勿进）

广告之后：　PE　 SEH　（高手勿进）