关于exe代码注入
逆向新人一枚,最近在做exe空白区域注入自己的代码。填充代码如下6A 00 6A 00 6A 00 6A 00 E8 5D D8 72 76 E9 43 FA FE FF,也修改的程序入口。经验E8和E9后面的地址无误,但是点击修改后的文件无法运行。拖到od中,查看后,没有按照code,而是按照数据处理了。这里不是很明白。
额,不懂诶,看看 jmp 指令需要重定位的哥。{:1_925:} Rookietp 发表于 2020-3-22 02:51
jmp 指令需要重定位的哥。
已经重定位了,看下描述可行。
被注入的函数,重新跳转到原来的入口,以及修改新的入口,以上三个工作都做完了。 要还原原地址数据,比如说你eip建立在code处,从原eip jmp过来的话原eip的代码要填在code后面 并且返回要返回到跳转代码的下一句 图2的问题 删除分析就可以了 罗萨 发表于 2020-3-22 16:13
图2的问题 删除分析就可以了
啊?不太懂什么意思啊? 夏鱼儿 发表于 2020-3-22 16:20
啊?不太懂什么意思啊?
右键-分析-从模块中删除分析
页:
[1]