[娱乐]某些牛人们的方法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[娱乐]某些牛人们的方法

发表于: 2008-10-4 14:44 18309

[娱乐]某些牛人们的方法

shoooo

2008-10-4 14:44

18309

这里给出一些别的牛人们的答案，供大家玩乐
我对这个题目的理解是，无论我们怎么异想天开的改，都要保证一些函数基本的东西
1. 不能破坏除eax, edx，ecx以外的寄存器
2. 不能假设美好的环境存在，比如d位是0, 即不保证lods方向
3. 不能事先做好铺垫代码，即不允许hook流和异常流，否则可以无意义的0字节

我认为最标准的答案是10字节的

B8 XX XX XX XX 50 FF 50 XX C3

50 FF 50 B8 C3 50 3C 00 EB F6

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

收藏・13

免费・7

支持

最新回复 (48) 1 2 ▶
qdk 雪币： 231 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 423 粉丝 0 关注私信	qdk 2 楼大开眼界了啊 2008-10-4 14:47 0
ayarei 雪币： 216 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 34 粉丝 0 关注私信	ayarei 1 3 楼这样好像我的就通过不能了，很久没做过pediy，完全不会了 2008-10-4 14:47 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 4 楼不用泄气上面只是我的个人理解，并不代表裁判也是这样理解的 2008-10-4 14:50 0
ayarei 雪币： 216 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 34 粉丝 0 关注私信	ayarei 1 5 楼 O(∩_∩)O~这个好像没什么事吧，只是玩笑话，shooo莫当真 2008-10-4 14:53 0
songyibug 雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 0 关注私信	songyibug 6 楼为了通用和规则,---扼杀了N条思路~ 2008-10-4 14:53 0
edisonH 雪币： 243 活跃值： (11) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 58 粉丝 0 关注私信	edisonH 3 7 楼 7字节和这个貌似也没什么区别的 push _jump_jump_jump retn 2008-10-4 15:09 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 4 关注私信	木桩 8 8 楼原来还有这么多闻所未闻的调用方法，稍微加点注释：方法1： B8 XX XX XX XX 50 FF 50 XX C3 003F10CA B8 70273F00 MOV EAX, 003F2800 003F10CF 50 PUSH EAX 003F10D0 FF50 30 CALL DWORD PTR DS:[EAX+30] 003F10D3 C3 RETN 然后假设 003F2800 这里的数据是这个样子 003F2800 65 78 70 6C 6F 72 65 72 2E 65 78 65 20 68 74 74 explorer.exe htt 003F2810 70 3A 2F 2F 62 62 73 2E 70 65 69 64 79 2E 63 6F p://bbs.peidy.co 003F2820 6D 00 m. 003F2830 4D 11 86 7C 这个是WinExec的ThunkRVA，保证 EAX+30 是指向这里就行代码2：50 FF 50 B8 C3 50 3C 00 EB F6 003F10CA 50 PUSH EAX 003F10CB FF50 B8 CALL DWORD PTR DS:[EAX-48] 003F10CE C3 RETN 003F10CF 50 PUSH EAX 003F10D0 3C 00 CMP AL,0 003F10D2 ^ EB F6 JMP SHORT 003F10CA 这段没看懂，入口应该是 003F10CF，但是如何保证EAX的值总是想要的？不然CALL DWORD PTR DS:[EAX-48]就不知道飞到哪去了代码3：BE XX XX XX XX 87 E6 C3 这段代码就比较流氓了，例如下面这个，实际是跳到003F2700继续执行... 而执行的参数是硬编码在文件中的（具体做法看最后） 003F10CA BE 00273F00 MOV ESI, 003F2700 003F10CF 87E6 XCHG ESI,ESP ; 修改了ESP，导致ret的返回地址为 003F2700 处的4个字节 003F10D1 C3 RETN ; 然后继续代码4：CC 这个绝对是无敌的做法，用任何一个指令引发异常，然后在异常里实现调用。具体看这贴： EricAzhe 的2字节pediy （实际ret都可以省掉，只用1字节）代码5：87 25 XX XX XX XX C3 003F10CA 8725 00273F00 XCHG DWORD PTR DS:[3F2700],ESP 003F10D0 C3 RETN 和方法3一个道理，只不过这里直接和ESP交换了。7字节看到sessiondiy说的方法，终于明白了方法3和方法5的实现方式: OpenUrlA: 007810CA > . 8BDC mov ebx, esp 007810CC . BC F0217800 mov esp, <&KERNEL32.WinExec> <-指向下面 007810D1 . C3 retn 007810D2 . 8BE3 mov esp, ebx 007810D4 . C3 retn ESP设来这里(.rdata or .data): [WinExec] [07810D2] [0783050] [5] IAT relc修 relc修 Winexec的参数1 ret Winexec的参数0 居然在(.rdata or .data)里这样处理，WinExec的参数是硬编码在交换到位置之后的。具体方法见14楼。 2008-10-4 15:11 1
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 9 楼那7个字节，我可以保证，openurla从开始到结束，除了api系统领空外，函数唯一经过的就那两行代码，不会跑到别的用户态代码或事先做好的代码上面去 2008-10-4 15:15 0
edisonH 雪币： 243 活跃值： (11) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 58 粉丝 0 关注私信	edisonH 3 10 楼仔细回味了下，7字节确实太妙了.可惜不能多线程 2008-10-4 15:26 0
sskey 雪币： 216 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 152 粉丝 0 关注私信	sskey 1 11 楼来看牛人,来看牛人们的代码....... 2008-10-4 15:32 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 4 关注私信	木桩 8 12 楼能仔细说说那个7字节的代码么？如果不需要“跑到别的用户态代码”上，实在不清楚如何实现的啊。光赋值就用去5个字节了，剩下的2个字节我们能拿来做什么 2008-10-4 15:39 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 13 楼秘密就在于我们可于把很多要做的事情先在新堆栈中设计好，然后直接换进来就OK了 2008-10-4 15:55 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 4 关注私信	木桩 8 14 楼谢谢，终于顿悟了7字节的方法！这个方法太精妙了！例如方法3中 MOV ESI, 003F2700，此时 003F2700 的数据像这样： 003F2700 4D 11 86 7C XX XX XX XX 10 27 3F 00 05 00 00 00 M唡....'?.... 003F2710 65 78 70 6C 6F 72 65 72 2E 65 78 65 20 68 74 74 explorer.exe htt 003F2720 70 3A 2F 2F 62 62 73 2E 70 65 64 69 79 2E 63 6F p://bbs.pediy.co 003F2730 6D 00 m. 其中红色部分为WinExec的实际地址，你可以把引入表的ThunkRVA设到这里。蓝色部分的8字节是参数1和参数2，中间紫色4个字节填函数的返回地址。此时执行XCHG ESI,ESP后堆栈为： 003F2700 7C86114D kernel32.WinExec 003F2704 XXXXXXXX 填写返回地址 003F2708 003F2710 arg1 = ASCII 'explorer.exe http://bbs.pediy.com',0 003F270C 00000005 arg2 = 5 接着ret，用OD可以看到调用情况： 003F2704 XXXXXXXX /CALL 到 WinExec 003F2708 003F2710 \|CmdLine = "explorer.exe http://bbs.pediy.com" 003F270C 00000005 \ShowState = SW_SHOW 关于恢复ESP地址：说说方法5吧，这7字节方法是靠再次执行OpenUrlA函数来实现恢复的，需要另外的4字节存放原来的ESP。为了测试，我们把DLL入口点位置代码改成这样： 003F1020 > 8725 50273F00 XCHG DWORD PTR DS:[3F3750],ESP 003F1026 C3 RETN 003F3700 B5 15 86 7C 26 10 3F 00 10 27 3F 00 05 00 00 00 M唡&?.'?.... 003F3710 65 78 70 6C 6F 72 65 72 2E 65 78 65 20 68 74 74 explorer.exe htt 003F3720 70 3A 2F 2F 62 62 73 2E 70 65 64 69 79 2E 63 6F p://bbs.pediy.co 003F3730 6D 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 m............... 003F3740 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 003F3750 00 37 3F 00 注意对应颜色的部分。首先XCHG在[003F3750]，此时紫色的4字节被交换到ESP，也就是完成执行WinExec的准备工作，此时原本的ESP被记录在[003F3750]。再看蓝色的返回地址，这里填的是003F1020！这样等WinExec执行完后，ret返回后将再次执行 003F1020 > 8725 50273F00 XCHG DWORD PTR DS:[3F3750],ESP 将ESP交换回来，收工这个7字节的代码果然有很多地方值得研究太强悍了！其实要真正打造出能用的DLL，还有很多问题。例如： OriginalFirstThunk和FirstThunk不能都设到要调用的位置（LoadPE就是放一块了）；给.rdata节中的调用参数等进行重定位（新增一个重定位块，基址是.rdata的0x2000）；又因为由于PE的内存不够堆栈使用，需要修改SizeOfStackReserve大小（好累，有心人继续吧）... 2008-10-4 16:10 0
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 15 楼哇塞我明白了 2008-10-4 16:26 0
stalker 雪币： 399 活跃值： (38) 能力值： (RANK：350 ) 在线值：发帖 70 回帖 1064 粉丝 3 关注私信	stalker 8 16 楼 0字节的怎么没人提? 还有OpenUrlA的地址为正常地址,但没有任何代码,在ATTACH的时候,再写代码到该地址处这样算不算0字节 2008-10-4 16:42 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 17 楼评分标准应该以对原来文件的最小改动字节数来作为基准。 2008-10-4 18:28 0
frozenrain 雪币： 107 活跃值： (1683) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 18 楼不拘一格降人才啊都不错虽然不符合要求但是很好很强大 2008-10-4 18:49 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 19 楼我的答案也是0字节的,不过在外部增加一个DLL,其实就是像Kernel32.dll导出的HeapAlloc实际是Ntdll.dll中的AlllocateHeap。Pediy.dll里面只改了输入表和输出表。那个附加的DLL是通过注册表和读取IE的地址，然后用CreateProcess打开，整个函数超过3XX字节，2次提交，符合得出负数的分结果裁判说，这个答案不符合要求。好吧，连负分也不给，硬给我个0分，随他去吧 2008-10-4 19:01 0
kingime 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	kingime 20 楼了解，这个方法确实精妙 2008-10-4 19:11 0
qdk 雪币： 231 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 423 粉丝 0 关注私信	qdk 21 楼问一下在哪里可以看到审判结果 2008-10-4 19:14 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 22 楼楼上好像就是fengyue/ 膜拜1下 2008-10-4 19:17 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 23 楼楼上的楼上盗用我的头像 2008-10-4 19:27 0
qdk 雪币： 231 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 423 粉丝 0 关注私信	qdk 24 楼这不是论坛的默认投降么 2008-10-4 19:36 0
sskey 雪币： 216 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 152 粉丝 0 关注私信	sskey 1 25 楼我晕,上面两个"风月", 我在论坛上用了半年多的"慕容紫英"的头像,结果前段时间看到也有人在论坛上用没法了,只有自己换了,其实好不想换滴,那是相当之郁闷........ 2008-10-4 19:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

shoooo

发帖

2169

回帖

650

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (48) 1 2 ▶
qdk 雪币： 231 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 423 粉丝 0 关注私信	qdk 2 楼大开眼界了啊 2008-10-4 14:47 0
ayarei 雪币： 216 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 34 粉丝 0 关注私信	ayarei 1 3 楼这样好像我的就通过不能了，很久没做过pediy，完全不会了 2008-10-4 14:47 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 4 楼不用泄气上面只是我的个人理解，并不代表裁判也是这样理解的 2008-10-4 14:50 0
ayarei 雪币： 216 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 34 粉丝 0 关注私信	ayarei 1 5 楼 O(∩_∩)O~这个好像没什么事吧，只是玩笑话，shooo莫当真 2008-10-4 14:53 0
songyibug 雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 0 关注私信	songyibug 6 楼为了通用和规则,---扼杀了N条思路~ 2008-10-4 14:53 0
edisonH 雪币： 243 活跃值： (11) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 58 粉丝 0 关注私信	edisonH 3 7 楼 7字节和这个貌似也没什么区别的 push _jump_jump_jump retn 2008-10-4 15:09 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 4 关注私信	木桩 8 8 楼原来还有这么多闻所未闻的调用方法，稍微加点注释：方法1： B8 XX XX XX XX 50 FF 50 XX C3 003F10CA B8 70273F00 MOV EAX, 003F2800 003F10CF 50 PUSH EAX 003F10D0 FF50 30 CALL DWORD PTR DS:[EAX+30] 003F10D3 C3 RETN 然后假设 003F2800 这里的数据是这个样子 003F2800 65 78 70 6C 6F 72 65 72 2E 65 78 65 20 68 74 74 explorer.exe htt 003F2810 70 3A 2F 2F 62 62 73 2E 70 65 69 64 79 2E 63 6F p://bbs.peidy.co 003F2820 6D 00 m. 003F2830 4D 11 86 7C 这个是WinExec的ThunkRVA，保证 EAX+30 是指向这里就行代码2：50 FF 50 B8 C3 50 3C 00 EB F6 003F10CA 50 PUSH EAX 003F10CB FF50 B8 CALL DWORD PTR DS:[EAX-48] 003F10CE C3 RETN 003F10CF 50 PUSH EAX 003F10D0 3C 00 CMP AL,0 003F10D2 ^ EB F6 JMP SHORT 003F10CA 这段没看懂，入口应该是 003F10CF，但是如何保证EAX的值总是想要的？不然CALL DWORD PTR DS:[EAX-48]就不知道飞到哪去了代码3：BE XX XX XX XX 87 E6 C3 这段代码就比较流氓了，例如下面这个，实际是跳到003F2700继续执行... 而执行的参数是硬编码在文件中的（具体做法看最后） 003F10CA BE 00273F00 MOV ESI, 003F2700 003F10CF 87E6 XCHG ESI,ESP ; 修改了ESP，导致ret的返回地址为 003F2700 处的4个字节 003F10D1 C3 RETN ; 然后继续代码4：CC 这个绝对是无敌的做法，用任何一个指令引发异常，然后在异常里实现调用。具体看这贴： EricAzhe 的2字节pediy （实际ret都可以省掉，只用1字节）代码5：87 25 XX XX XX XX C3 003F10CA 8725 00273F00 XCHG DWORD PTR DS:[3F2700],ESP 003F10D0 C3 RETN 和方法3一个道理，只不过这里直接和ESP交换了。7字节看到sessiondiy说的方法，终于明白了方法3和方法5的实现方式: OpenUrlA: 007810CA > . 8BDC mov ebx, esp 007810CC . BC F0217800 mov esp, <&KERNEL32.WinExec> <-指向下面 007810D1 . C3 retn 007810D2 . 8BE3 mov esp, ebx 007810D4 . C3 retn ESP设来这里(.rdata or .data): [WinExec] [07810D2] [0783050] [5] IAT relc修 relc修 Winexec的参数1 ret Winexec的参数0 居然在(.rdata or .data)里这样处理，WinExec的参数是硬编码在交换到位置之后的。具体方法见14楼。 2008-10-4 15:11 1
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 9 楼那7个字节，我可以保证，openurla从开始到结束，除了api系统领空外，函数唯一经过的就那两行代码，不会跑到别的用户态代码或事先做好的代码上面去 2008-10-4 15:15 0
edisonH 雪币： 243 活跃值： (11) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 58 粉丝 0 关注私信	edisonH 3 10 楼仔细回味了下，7字节确实太妙了.可惜不能多线程 2008-10-4 15:26 0
sskey 雪币： 216 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 152 粉丝 0 关注私信	sskey 1 11 楼来看牛人,来看牛人们的代码....... 2008-10-4 15:32 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 4 关注私信	木桩 8 12 楼能仔细说说那个7字节的代码么？如果不需要“跑到别的用户态代码”上，实在不清楚如何实现的啊。光赋值就用去5个字节了，剩下的2个字节我们能拿来做什么 2008-10-4 15:39 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 13 楼秘密就在于我们可于把很多要做的事情先在新堆栈中设计好，然后直接换进来就OK了 2008-10-4 15:55 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 4 关注私信	木桩 8 14 楼谢谢，终于顿悟了7字节的方法！这个方法太精妙了！例如方法3中 MOV ESI, 003F2700，此时 003F2700 的数据像这样： 003F2700 4D 11 86 7C XX XX XX XX 10 27 3F 00 05 00 00 00 M唡....'?.... 003F2710 65 78 70 6C 6F 72 65 72 2E 65 78 65 20 68 74 74 explorer.exe htt 003F2720 70 3A 2F 2F 62 62 73 2E 70 65 64 69 79 2E 63 6F p://bbs.pediy.co 003F2730 6D 00 m. 其中红色部分为WinExec的实际地址，你可以把引入表的ThunkRVA设到这里。蓝色部分的8字节是参数1和参数2，中间紫色4个字节填函数的返回地址。此时执行XCHG ESI,ESP后堆栈为： 003F2700 7C86114D kernel32.WinExec 003F2704 XXXXXXXX 填写返回地址 003F2708 003F2710 arg1 = ASCII 'explorer.exe http://bbs.pediy.com',0 003F270C 00000005 arg2 = 5 接着ret，用OD可以看到调用情况： 003F2704 XXXXXXXX /CALL 到 WinExec 003F2708 003F2710 \|CmdLine = "explorer.exe http://bbs.pediy.com" 003F270C 00000005 \ShowState = SW_SHOW 关于恢复ESP地址：说说方法5吧，这7字节方法是靠再次执行OpenUrlA函数来实现恢复的，需要另外的4字节存放原来的ESP。为了测试，我们把DLL入口点位置代码改成这样： 003F1020 > 8725 50273F00 XCHG DWORD PTR DS:[3F3750],ESP 003F1026 C3 RETN 003F3700 B5 15 86 7C 26 10 3F 00 10 27 3F 00 05 00 00 00 M唡&?.'?.... 003F3710 65 78 70 6C 6F 72 65 72 2E 65 78 65 20 68 74 74 explorer.exe htt 003F3720 70 3A 2F 2F 62 62 73 2E 70 65 64 69 79 2E 63 6F p://bbs.pediy.co 003F3730 6D 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 m............... 003F3740 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 003F3750 00 37 3F 00 注意对应颜色的部分。首先XCHG在[003F3750]，此时紫色的4字节被交换到ESP，也就是完成执行WinExec的准备工作，此时原本的ESP被记录在[003F3750]。再看蓝色的返回地址，这里填的是003F1020！这样等WinExec执行完后，ret返回后将再次执行 003F1020 > 8725 50273F00 XCHG DWORD PTR DS:[3F3750],ESP 将ESP交换回来，收工这个7字节的代码果然有很多地方值得研究太强悍了！其实要真正打造出能用的DLL，还有很多问题。例如： OriginalFirstThunk和FirstThunk不能都设到要调用的位置（LoadPE就是放一块了）；给.rdata节中的调用参数等进行重定位（新增一个重定位块，基址是.rdata的0x2000）；又因为由于PE的内存不够堆栈使用，需要修改SizeOfStackReserve大小（好累，有心人继续吧）... 2008-10-4 16:10 0
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 15 楼哇塞我明白了 2008-10-4 16:26 0
stalker 雪币： 399 活跃值： (38) 能力值： (RANK：350 ) 在线值：发帖 70 回帖 1064 粉丝 3 关注私信	stalker 8 16 楼 0字节的怎么没人提? 还有OpenUrlA的地址为正常地址,但没有任何代码,在ATTACH的时候,再写代码到该地址处这样算不算0字节 2008-10-4 16:42 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 17 楼评分标准应该以对原来文件的最小改动字节数来作为基准。 2008-10-4 18:28 0
frozenrain 雪币： 107 活跃值： (1683) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 18 楼不拘一格降人才啊都不错虽然不符合要求但是很好很强大 2008-10-4 18:49 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 19 楼我的答案也是0字节的,不过在外部增加一个DLL,其实就是像Kernel32.dll导出的HeapAlloc实际是Ntdll.dll中的AlllocateHeap。Pediy.dll里面只改了输入表和输出表。那个附加的DLL是通过注册表和读取IE的地址，然后用CreateProcess打开，整个函数超过3XX字节，2次提交，符合得出负数的分结果裁判说，这个答案不符合要求。好吧，连负分也不给，硬给我个0分，随他去吧 2008-10-4 19:01 0
kingime 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	kingime 20 楼了解，这个方法确实精妙 2008-10-4 19:11 0
qdk 雪币： 231 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 423 粉丝 0 关注私信	qdk 21 楼问一下在哪里可以看到审判结果 2008-10-4 19:14 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 22 楼楼上好像就是fengyue/ 膜拜1下 2008-10-4 19:17 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 23 楼楼上的楼上盗用我的头像 2008-10-4 19:27 0
qdk 雪币： 231 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 423 粉丝 0 关注私信	qdk 24 楼这不是论坛的默认投降么 2008-10-4 19:36 0
sskey 雪币： 216 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 152 粉丝 0 关注私信	sskey 1 25 楼我晕,上面两个"风月", 我在论坛上用了半年多的"慕容紫英"的头像,结果前段时间看到也有人在论坛上用没法了,只有自己换了,其实好不想换滴,那是相当之郁闷........ 2008-10-4 19:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复