请问如何在od中定位软件的端口号并修改

千刀

新手求教。
一个软件绑定了本地端口8099，并进行监听，我想取消绑定8099端口，或者修改为9099.
在软件在od可以正常打开，利用socket插件也跟踪到了具体的内存地址。但是依旧不知道8099端口在哪里产生的，应该在哪里修改这个端口号？
详见图片。希望能够给我一点帮助。谢谢

下图是socket插件跟踪到的



下图是根据上面的内存地址打的断点



下图发现了8099的十六进制



请问，我想把绑定的8099端口 ，修改为9099，应该怎么定位修改？
请各位大佬指点下，或者动手给我上一课吧。谢谢




新手发帖，如有违规，还请版主大大移贴。

romobin

不用定位啊， 直接修改eax就可以了拉
一般都是jmp到全0代码处 修改了你要的变量值再jmp回来

千刀

romobin 发表于 2020-3-11 16:50
不用定位啊， 直接修改eax就可以了拉
一般都是jmp到全0代码处 修改了你要的变量值再jmp回来

大哥，大概明白你的意思了。可以简单给个小示例吗？

千刀

romobin 发表于 2020-3-11 16:50
不用定位啊， 直接修改eax就可以了拉
一般都是jmp到全0代码处 修改了你要的变量值再jmp回来

还需要判断是不是8099，如果不是8099则不修改，是则修改或者close

无闻无问

发现8099的地方，arg2说明是第二个参数，call eax 上方压入的参数push eax,push edi，其中eax/edi就是保存8099的地址，它又是谁给的？一层层往前推，就找到赋值的地方了

无闻无问

千刀 发表于 2020-3-11 17:05
还需要判断是不是8099，如果不是8099则不修改，是则修改或者close

意思就是hook，找空白地方补代码,你这个往上追，应该是能追到赋值8099的地方的…

wu0o0pj

arg2 是外面传进的参数吧，记住这个堆栈地址；
在上层调用这个函数的地方，找到写入堆栈的地方，进行修改；
如果不是常量，可以再往前看看；