本帖最后由 rain灿 于 2014-10-3 17:31 编辑
=.= 莫非。。。。。。。。。。。。。。。。。。你长得丑!
好吧不闹了。
00401A8A 8B5424 04 mov edx,dword ptr ss:
00401A8E 8B4C24 08 mov ecx,dword ptr ss:
00401A92 85D2 test edx,edx
00401A94 75 0D jnz short 00401AA3
00401A96 33C0 xor eax,eax
00401A98 85C9 test ecx,ecx
00401A9A 74 06 je short 00401AA2
00401A9C 8039 00 cmp byte ptr ds:,0
00401A9F 74 01 je short 00401AA2
00401AA1 48 dec eax
这种代码是文本比较。。
找到这个00401A8A
下断。
然后返回。
看看有没有一个是这种代码
00408035 50 push eax
00408036 FF35 F0F04900 push dword ptr ds:
0040803C E8 499AFFFF call 00401A8A
00408041 83C4 08 add esp,8
00408044 83F8 00 cmp eax,0
00408047 B8 00000000 mov eax,0
0040804C 0F94C0 sete al
好了= =把sete al 改成setne al 就好了。
至于原理。。。
我也不知道= =。
毕竟F8师父教我的。
我就一直当作是一个小技巧了。。
本帖最后由 rain灿 于 2014-10-3 17:40 编辑
起个什么名字 发表于 2014-10-3 17:37
在00401A8A跟返回一共是两次,但是都和00408035这种地址差的很远。。。。而且我加了放调试。应该会推出才 ...
退出我一开始就讲了方法啊= =。
字符串SHELLHOOK
断首retn
估计你是win7的把。。
add esp,8
cmp eax,0
mov eax,0
sete al
右键 查找-字符串啥来着。。。。
忘了= =然后把这4个复制上去就好了
你的最终目的是黑JJ网络验证~
你的最终目的是黑JJ网络验证~
你的最终目的是黑JJ网络验证~
你的最终目的是黑JJ网络验证~
你的最终目的是黑JJ网络验证~
职业破坏队形!
你的最终目的是黑JJ网络验证~