(原创)某外挂patch机器码教程,简单学习机器码修改的思路
本帖最后由 pxhb 于 2012-6-27 11:28 编辑部分。。。。
机器码获取,下断点。bp CreateFileW执行到用户代码
--------------
当堆栈出现\\.\PhysicalDrive0的时候执行到用户代码然后返回到程序的领空,
单步下去,等待EAX出现机器码,数据窗口跟随,然后修改
0012F568 7C801A53/CALL 到 CreateFileW 来自 kernel32.7C801A4E
0012F56C 7FFDFC00|FileName = "\\.\PhysicalDrive0"
0012F570 C0000000|Access = GENERIC_READ|GENERIC_WRITE
0012F574 00000003|ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE
0012F578 00000000|pSecurity = NULL
0012F57C 00000003|Mode = OPEN_EXISTING
0012F580 00000000|Attributes = 0
0012F584 00000000\hTemplateFile = NULL
0012F588/0012F860
执行到用户代码
---------------
最终返回到程序领空
这里在OD可以运行了,但要脱离OD运行 就要用到一些修改
大家可以自己研究一下,简单的SMC就可以。提示,只需要修改EAX就可以
时间关系就不演示 了,欢迎新手和我一起讨论
--------------
http://115.com/file/dpkv3fth#修改过程.rar
也有人问了,加了壳的是不是不可以,可以的,用内存补丁可以实现
Chief 发表于 2012-6-26 12:58 static/image/common/back.gif
表示会patch都是大牛!+1
楼主很低调呀。
[来自山寨版iPhone]
第一次发帖,大牛们见笑了{:1_907:} 楼上都是大牛...
膜拜之.... 表示会patch都是大牛!+1
楼主很低调呀。
[来自山寨版iPhone] 表示会patch都是大牛!另外出售内裤,详情看头像! 不错,支持 能改机器码 无限试用了 向大牛,学习一下........ 向大牛学习。。。。。。。 过来学习学习。。。。