“使用FFI去掉” ，这句话实在是不明白

冥界3大法王

0x00 初探
程序有ASLR，不方便分析，使用FFI去掉

https://www.52pojie.cn/thread-673952-1-1.html

用OD FFI就可以修改了

https://www.52pojie.cn/thread-637559-1-1.html
求老师解答 @zbnysjwsnd8









































学生饭桶，还是没有整明白。

猫捉老虎

冥界3大法王 发表于 2019-10-31 16:37
@猫捉老虎
https://www.52pojie.cn/thread-637559-1-1.html
就这个贴子，希望老大自动动手试试，并说 ...

1.bp SetWindowTextW
2.断在这个位置

3.看看堆栈找上个call

4.修改call（这个Call 里面 在调用GetwindowText之前还调用了一堆乱起八糟的 就是乱码的原因 ，
具体原因没看，我直接自己写汇编调用GetwindowText绕过了，）


5.自己call调用API

5.我修改了关于窗口    主窗口代码已经被更改过了 我看不到原始代码


链接 https://pan.baidu.com/s/11pZYJfdsqR5fZhonoxGa4Q

猫捉老虎

冥界3大法王 发表于 2019-10-31 16:37
@猫捉老虎
https://www.52pojie.cn/thread-637559-1-1.html
就这个贴子，希望老大自动动手试试，并说 ...

中文就是 先把中文转换为 unicode  然后写进去就行了               

占位占位   ——-》 \u5360 \u4f4d \u5360 \u4f4d

是不是在哪似曾相识？

涛之雨

https://bbs.ichunqiu.com/thread-41359-1-1.html
这个？
貌似在哪个论坛脱壳的教程看到过类似的
（貌似是ximo的？）

猫捉老虎

通过修改分析PE文件中的属性,修改地址随机化标志,并对PE文件进行重建,绕过PE文件地址随机化.

https://bbs.pediy.com/thread-253590.htm

冥界3大法王

猫捉老虎 发表于 2019-10-25 11:52
通过修改分析PE文件中的属性,修改地址随机化标志,并对PE文件进行重建,绕过PE文件地址随机化.

https://bb ...

@猫捉老虎
那请教下，这个

https://www.52pojie.cn/thread-637559-1-1.html
标题(UNICODE字符串 不包括结束符)所占的空间:0x200个字节(512个字节)

看得不明白呢。

猫捉老虎

冥界3大法王 发表于 2019-10-25 12:25
@猫捉老虎
那请教下，这个

FFI全称：
File Format Identifier（一种PE文件查看器）

可以这么理解：
FFI ≈ LoadPE

一 、修改重定位在这里：



二 、修改软件名字

用 OD 和 FFI 修改 名字。。。感觉你会呀

冥界3大法王

猫捉老虎 发表于 2019-10-28 15:11
FFI全称：
File Format Identifier（一种PE文件查看器）

感谢 解答，回家对照了下，发现修改前后的那两个表一样一样的，还是没有弄明白。

猫捉老虎

冥界3大法王 发表于 2019-10-29 16:57
感谢 解答，回家对照了下，发现修改前后的那两个表一样一样的，还是没有弄明白。

哪个表？
重定位修改了，没点保存？

冥界3大法王

猫捉老虎 发表于 2019-10-30 10:34
哪个表？
重定位修改了，没点保存？

@猫捉老虎
https://www.52pojie.cn/thread-637559-1-1.html
就这个贴子，希望老大自动动手试试，并说下操作细节，谢谢。

猫捉老虎

冥界3大法王 发表于 2019-10-31 16:37
@猫捉老虎
https://www.52pojie.cn/thread-637559-1-1.html
就这个贴子，希望老大自动动手试试，并说 ...

关于字符串长度的问题 这里就是新添加了一个区段，用之前说过的FFI 。注意看区段地址00597000。 OD里修改代码时也有调用这个字符串地址，看的很明白.