[求助]修改了EXE中的常量字符串以后，EXE无法运行了，该怎么做？　-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
yinX 雪币： 377 活跃值： (432) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 122 粉丝 1 关注私信	yinX 2 2 楼在字符串后面的数据都移位了吗如果可以的话，就在节的后面的空间里重新写一个字符串，然后把每个引用到原串的地方改成指向新的串 2009-1-11 16:51 0
radarhp 雪币： 220 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 96 粉丝 1 关注私信	radarhp 3 楼是啊。。。。肯定移位了，比方原来里面写的是192.168.0.1这个ｉｐ我现在需要改成127.0.0.1字符串的长度就不一样了吧。。。少了几个字符或者说原来是127.0.0.1，现在想改成192.168.0.1，就会让ｅｘｅ多出几个字节来。。。这样子修改以后，EXE无法运行。。。咋搞？求解。。。 2009-1-11 16:56 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 4 楼多的改少的比较方便，反过来就麻烦了 2009-1-11 20:24 0
radarhp 雪币： 220 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 96 粉丝 1 关注私信	radarhp 5 楼嘿嘿，麻烦倒不怕，就是偶现在不知道怎么做。。。。 2009-1-11 20:37 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 6 楼字符串一程序中一般都是常量，只读，所以可以直接写在代码段末尾的空白处，然后修改程序中所有对该字符串的引用代码，将引用地址改成新的地址。（理论上还有个重定位的问题，不过对EXE，可以不用管它）办法1.用OD调试程序，对原来的字符串下内存断点，运行程序，记录所有的中断，然后一一修改。此方法可以会对代码覆盖不全，漏掉某些代码. 办法2.如果程序没有加壳也没有加花，试试用IDA分析，然后从交叉引用信息中得到引用代码。 2009-1-12 04:23 0
Ella 雪币： 564 活跃值： (12) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 225 粉丝 0 关注私信	Ella 1 7 楼一般改本地验证，改为127.0.0.1通常都是比原来的少的。我一般改的时候是保持和原来数目一样，缺的部分用00填充。如果改多的话，可以选择块空地，跳出来，再跳回去。 2009-1-12 09:56 0
wxjgeorge 雪币： 123 活跃值： (95) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 140 粉丝 1 关注私信	wxjgeorge 1 8 楼多的改少的可以直接用winhex将字符串改写，空出来的部份用00. 少的改多的，没什么好的办法，只能是找到程序中不用的空地，写入字符串，再调试程序，将原字符串引用全部改到新的字符串位置了。 2009-1-12 19:43 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 9 楼加节,添加新的字符，修改引用... 2009-1-12 19:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
yinX 雪币： 377 活跃值： (432) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 122 粉丝 1 关注私信	yinX 2 2 楼在字符串后面的数据都移位了吗如果可以的话，就在节的后面的空间里重新写一个字符串，然后把每个引用到原串的地方改成指向新的串 2009-1-11 16:51 0
radarhp 雪币： 220 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 96 粉丝 1 关注私信	radarhp 3 楼是啊。。。。肯定移位了，比方原来里面写的是192.168.0.1这个ｉｐ我现在需要改成127.0.0.1字符串的长度就不一样了吧。。。少了几个字符或者说原来是127.0.0.1，现在想改成192.168.0.1，就会让ｅｘｅ多出几个字节来。。。这样子修改以后，EXE无法运行。。。咋搞？求解。。。 2009-1-11 16:56 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 4 楼多的改少的比较方便，反过来就麻烦了 2009-1-11 20:24 0
radarhp 雪币： 220 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 96 粉丝 1 关注私信	radarhp 5 楼嘿嘿，麻烦倒不怕，就是偶现在不知道怎么做。。。。 2009-1-11 20:37 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 6 楼字符串一程序中一般都是常量，只读，所以可以直接写在代码段末尾的空白处，然后修改程序中所有对该字符串的引用代码，将引用地址改成新的地址。（理论上还有个重定位的问题，不过对EXE，可以不用管它）办法1.用OD调试程序，对原来的字符串下内存断点，运行程序，记录所有的中断，然后一一修改。此方法可以会对代码覆盖不全，漏掉某些代码. 办法2.如果程序没有加壳也没有加花，试试用IDA分析，然后从交叉引用信息中得到引用代码。 2009-1-12 04:23 0
Ella 雪币： 564 活跃值： (12) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 225 粉丝 0 关注私信	Ella 1 7 楼一般改本地验证，改为127.0.0.1通常都是比原来的少的。我一般改的时候是保持和原来数目一样，缺的部分用00填充。如果改多的话，可以选择块空地，跳出来，再跳回去。 2009-1-12 09:56 0
wxjgeorge 雪币： 123 活跃值： (95) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 140 粉丝 1 关注私信	wxjgeorge 1 8 楼多的改少的可以直接用winhex将字符串改写，空出来的部份用00. 少的改多的，没什么好的办法，只能是找到程序中不用的空地，写入字符串，再调试程序，将原字符串引用全部改到新的字符串位置了。 2009-1-12 19:43 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 9 楼加节,添加新的字符，修改引用... 2009-1-12 19:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复