[求助]请教关于修改内存，动态的汇编代码如何修改？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
DazzleJ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	DazzleJ 2 楼相对地址 = 目标地址 - 跳转指令地址 - 5 2008-7-31 00:54 0
pathletboy 雪币： 184 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 376 粉丝 1 关注私信	pathletboy 2 3 楼相对地址 = 目标地址 - (跳转指令地址 + 5) 这样更好理解。 2008-7-31 01:06 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 4 楼相对地址 = 目标地址 - (跳转指令地址 + 跳转指令长度) 这样更好理解。 2008-7-31 01:22 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼其实就是自己计算跳转指令的问题．膜拜楼上三位大牛牛～ 2008-7-31 01:35 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 6 楼其实我发现，jmp 到某一个地址，实际上是jmp + 字节数。这个字节数就是目标地址和跳转地址的差，但是我没发现加5这个问题。 010073F0 . /EB 0E JMP SHORT notepada.01007400 010073F2 > \|8379 74 0E CMP DWORD PTR DS:[ECX+74],0E 010073F6 .^\|76 E2 JBE SHORT notepada.010073DA 010073F8 . \|33C0 XOR EAX,EAX 010073FA . \|3999 E8000000 CMP DWORD PTR DS:[ECX+E8],EBX 01007400 > \0F95C0 SETNE AL 看上面的jmp 7400 - 73f2 刚好等于 E 就是他们之间的字节数。 2008-7-31 14:58 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 7 楼根据这个原理，我知道了，不管内存里载入地址怎么变化，根本不影响 jmp 因为他后面的是字节数。目的地址，和jmp指令之间的字节数是不会变的。 2008-7-31 15:00 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 8 楼可惜你根据这个原理理解错了 2008-7-31 15:08 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 9 楼我理解错了么？请楼上的兄弟指正下。 2008-7-31 16:24 0
binglan212 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 241 粉丝 0 关注私信	binglan212 10 楼如果在同一个文件里面是没错的，但是如果跳转到你创建的模块，或者载入的其他文件，可能需要自己计算jmp的数据其实也可以使用 jmp dword ptr[XXXXXx] 或者 call dword ptr[XXXXXX] 这种方式，这样就不需要计算了，只需要修改，嘿嘿 2008-7-31 16:50 0
ingei 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	ingei 11 楼 =基址+偏移吧? 固定到指针中,就是寄存器，这样就可以读到地址，也可以读到地址里面的内容 2008-7-31 21:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
DazzleJ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	DazzleJ 2 楼相对地址 = 目标地址 - 跳转指令地址 - 5 2008-7-31 00:54 0
pathletboy 雪币： 184 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 376 粉丝 1 关注私信	pathletboy 2 3 楼相对地址 = 目标地址 - (跳转指令地址 + 5) 这样更好理解。 2008-7-31 01:06 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 4 楼相对地址 = 目标地址 - (跳转指令地址 + 跳转指令长度) 这样更好理解。 2008-7-31 01:22 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼其实就是自己计算跳转指令的问题．膜拜楼上三位大牛牛～ 2008-7-31 01:35 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 6 楼其实我发现，jmp 到某一个地址，实际上是jmp + 字节数。这个字节数就是目标地址和跳转地址的差，但是我没发现加5这个问题。 010073F0 . /EB 0E JMP SHORT notepada.01007400 010073F2 > \|8379 74 0E CMP DWORD PTR DS:[ECX+74],0E 010073F6 .^\|76 E2 JBE SHORT notepada.010073DA 010073F8 . \|33C0 XOR EAX,EAX 010073FA . \|3999 E8000000 CMP DWORD PTR DS:[ECX+E8],EBX 01007400 > \0F95C0 SETNE AL 看上面的jmp 7400 - 73f2 刚好等于 E 就是他们之间的字节数。 2008-7-31 14:58 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 7 楼根据这个原理，我知道了，不管内存里载入地址怎么变化，根本不影响 jmp 因为他后面的是字节数。目的地址，和jmp指令之间的字节数是不会变的。 2008-7-31 15:00 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 8 楼可惜你根据这个原理理解错了 2008-7-31 15:08 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 9 楼我理解错了么？请楼上的兄弟指正下。 2008-7-31 16:24 0
binglan212 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 241 粉丝 0 关注私信	binglan212 10 楼如果在同一个文件里面是没错的，但是如果跳转到你创建的模块，或者载入的其他文件，可能需要自己计算jmp的数据其实也可以使用 jmp dword ptr[XXXXXx] 或者 call dword ptr[XXXXXX] 这种方式，这样就不需要计算了，只需要修改，嘿嘿 2008-7-31 16:50 0
ingei 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	ingei 11 楼 =基址+偏移吧? 固定到指针中,就是寄存器，这样就可以读到地址，也可以读到地址里面的内容 2008-7-31 21:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复