好友
阅读权限20
听众
最后登录1970-1-1
|
pxhb
发表于 2012-6-26 12:53
本帖最后由 pxhb 于 2012-6-27 11:28 编辑
部分。。。。
机器码获取,下断点。bp CreateFileW 执行到用户代码
--------------
当堆栈出现\\.\PhysicalDrive0的时候执行到用户代码 然后返回到程序的领空,
单步下去,等待EAX出现机器码,数据窗口跟随,然后修改
0012F568 7C801A53 /CALL 到 CreateFileW 来自 kernel32.7C801A4E
0012F56C 7FFDFC00 |FileName = "\\.\PhysicalDrive0"
0012F570 C0000000 |Access = GENERIC_READ|GENERIC_WRITE
0012F574 00000003 |ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE
0012F578 00000000 |pSecurity = NULL
0012F57C 00000003 |Mode = OPEN_EXISTING
0012F580 00000000 |Attributes = 0
0012F584 00000000 \hTemplateFile = NULL
0012F588 /0012F860
执行到用户代码
---------------
最终返回到程序领空
这里在OD可以运行了,但要脱离OD运行 就要用到一些修改
大家可以自己研究一下,简单的SMC就可以。提示,只需要修改EAX就可以
时间关系就不演示 了,欢迎新手和我一起讨论
--------------
http://115.com/file/dpkv3fth#修改过程.rar
也有人问了,加了壳的是不是不可以,可以的,用内存补丁可以实现
|
-
-
下载地址.txt
161 Bytes, 下载次数: 325, 下载积分: 吾爱币 -1 CB
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
|
发表于 2012-6-26 13:01
发表于 2012-6-26 12:58
