首页
社区
课程
招聘
精华解释
发表于: 2008-7-3 13:52 4280

精华解释

2008-7-3 13:52
4280
在精华六中的PEDIY中,看到一篇名为<增加taskmgr.exe调用FileInfo的功能>

如下不是很明白,请求帮助

3,寻找空白空间并添加数据和代码:
    空白空间我选的是offset:560。现在再来看看ShellExecute():

    HINSTANCE ShellExecute(

    HWND hwnd,  // handle to parent window
    LPCTSTR lpOperation,  // pointer to string that specifies operation to perform
    LPCTSTR lpFile,  // pointer to filename or folder name string
    LPCTSTR lpParameters,  // pointer to string that specifies executable-file parameters
    LPCTSTR lpDirectory,  // pointer to string that specifies default directory
    INT nShowCmd   // whether file is shown when opened
    );

    如果要运行CallFI.exe,在C中可以这样写:
    ShellExecute(NULL,"open","F:\\tools\\cracktools\\Fi250\\FI_REG.EXE",NULL, NULL, SW_SHOWNORMAL);

    ShellExecute()共有6个参数,在这里只有两个参数需要存放在空白空间里,即:
    lpOperation="open",
    lpFile="F:\tools\cracktools\Fi250\CallFI.exe"。//CallFI.exe在计算机中的位置。

    用UltraEdit打开taskmgr.exe,将上面44字节写入offset:560,并记下他们的地址:
    lpOperation=560
    lpFile=568

以上是什么意思?是说在UE空白处直接写入:shellexecute("name","f:/tools....callfi.exe")
还是....


    这样我们就具备了运行CallFI.exe的条件:

    PUSHAAD        60
    PUSH 01        6A01        ->SW_SHOWNORMAL
    PUSH 00        6A00
    PUSH 00        6A00
    PUSH 01000568  6868050001  ->"F:\tools\cracktools\Fi250\FI_REG.EXE"
    PUSH 01000560  6860050001  ->"open"
    PUSH 00        6A00
    CALL 0001801C  FF151C800101->0101801C(ThunkRVA+ImageBase=0001801C+01000000)
    POPAD          61
    JMP 010086B3   E904810000  退出判断

    用UltraEdit打开taskmgr.exe,将上面31字节写入offset:590。

他这个代码又是怎么得来的?

    当ID值不满足所有条件时,让程序执行我们的代码,将
    :01008670 jne 010086B3
    改为:
    :01008670 jne 01000590

    用UltraEdit搜索754185C0743D替换为0F851A7FFFFF即可。

红色部份为我的疑问.

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 184
活跃值: (65)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
2
先学习下汇编,怎么用汇编调用WIN32 API.可以先用VC++或DELPHI的内联汇编做学习环境.到时候这个问题你自然明白了.
2008-7-3 18:11
0
雪    币: 222
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
谢谢,照你的方法做了几遍,明白了许多.
2008-7-4 09:59
0
游客
登录 | 注册 方可回帖
返回
//