“使用FFI去掉” ,这句话实在是不明白
0x00 初探程序有ASLR,不方便分析,使用FFI去掉
https://www.52pojie.cn/thread-673952-1-1.html
用OD FFI就可以修改了
https://www.52pojie.cn/thread-637559-1-1.html
求老师解答 @zbnysjwsnd8
学生饭桶,还是没有整明白。{:301_972:} 冥界3大法王 发表于 2019-10-31 16:37
@猫捉老虎
https://www.52pojie.cn/thread-637559-1-1.html
就这个贴子,希望老大自动动手试试,并说 ...
1.bp SetWindowTextW
2.断在这个位置
3.看看堆栈找上个call
4.修改call(这个Call 里面 在调用GetwindowText之前还调用了一堆乱起八糟的 就是乱码的原因 ,
具体原因没看,我直接自己写汇编调用GetwindowText绕过了,)
5.自己call调用API
5.我修改了关于窗口 主窗口代码已经被更改过了 我看不到原始代码
链接 https://pan.baidu.com/s/11pZYJfdsqR5fZhonoxGa4Q 冥界3大法王 发表于 2019-10-31 16:37
@猫捉老虎
https://www.52pojie.cn/thread-637559-1-1.html
就这个贴子,希望老大自动动手试试,并说 ...
中文就是 先把中文转换为 unicode然后写进去就行了
占位占位 ——-》 \u5360 \u4f4d \u5360 \u4f4d
是不是在哪似曾相识?
https://bbs.ichunqiu.com/thread-41359-1-1.html
这个?
貌似在哪个论坛脱壳的教程看到过类似的
(貌似是ximo的?) 通过修改分析PE文件中的属性,修改地址随机化标志,并对PE文件进行重建,绕过PE文件地址随机化.
https://bbs.pediy.com/thread-253590.htm
猫捉老虎 发表于 2019-10-25 11:52
通过修改分析PE文件中的属性,修改地址随机化标志,并对PE文件进行重建,绕过PE文件地址随机化.
https://bb ...
@猫捉老虎
那请教下,这个
https://www.52pojie.cn/thread-637559-1-1.html
标题(UNICODE字符串 不包括结束符)所占的空间:0x200个字节(512个字节)
看得不明白呢。 本帖最后由 猫捉老虎 于 2019-10-28 15:38 编辑
冥界3大法王 发表于 2019-10-25 12:25
@猫捉老虎
那请教下,这个
FFI全称:
File Format Identifier(一种PE文件查看器)
可以这么理解:
FFI ≈ LoadPE
一 、修改重定位在这里:
二 、修改软件名字
用 OD 和 FFI 修改 名字。。。感觉你会呀
猫捉老虎 发表于 2019-10-28 15:11
FFI全称:
File Format Identifier(一种PE文件查看器)
感谢 解答,回家对照了下,发现修改前后的那两个表一样一样的,还是没有弄明白。 冥界3大法王 发表于 2019-10-29 16:57
感谢 解答,回家对照了下,发现修改前后的那两个表一样一样的,还是没有弄明白。
哪个表?
重定位修改了,没点保存?
猫捉老虎 发表于 2019-10-30 10:34
哪个表?
重定位修改了,没点保存?
@猫捉老虎
https://www.52pojie.cn/thread-637559-1-1.html
就这个贴子,希望老大自动动手试试,并说下操作细节,谢谢。 冥界3大法王 发表于 2019-10-31 16:37
@猫捉老虎
https://www.52pojie.cn/thread-637559-1-1.html
就这个贴子,希望老大自动动手试试,并说 ...
关于字符串长度的问题 这里就是新添加了一个区段,用之前说过的FFI 。注意看区段地址00597000。 OD里修改代码时也有调用这个字符串地址,看的很明白.
页:
[1]
2